2020-10-26 03:35 (월)
[2020 국감] 중소기업 클라우드서비스 적용확산 사업자들, 정보보호는 부실해
상태바
[2020 국감] 중소기업 클라우드서비스 적용확산 사업자들, 정보보호는 부실해
  • 길민권 기자
  • 승인 2020.10.13 14:48
이 기사를 공유합니다

공모시 클라우드 공급기업의 보안성 평가가 선정기준에 반영되어야
변재일 의원 제공.
변재일 의원 제공.

국회 과학기술정보방송통신위원회 변재일의원(더불어민주당, 청주시청원구)이 정보통신산업진흥원(NIPA)의 ‘중소기업 클라우드서비스 적용확산 사업’ 공모시 클라우드 공급기업의 보안성을 평가가 선정기준에 반영되어야 한다고 지적했다.

NIPA는 ‘17년부터 전국 소상공인·중소기업의 정보화 수준 향상 및 클라우드 시장의 확산을 위해 공급기업과 수요기업을 매칭해 클라우드 서비스 이용을 지원하는 ’중소기업 클라우드서비스 적용확산 사업‘을 수행하고 있다.

이 사업은 문재인정부 국정과제 중 「4차 산업혁명 기술·인재·산업 생태계 조성 및 혁신적 규제개선」에 해당하는 사업이며 ‘22년까지 10,000개 기업 지원을 지원하는 것을 목표로 현재까지 누계 6,040개 기업을 지원했다.

정부는 매년 27억원의 예산을 지원해(올해만 26억원) 중소기업 제품은 정부가 70%를 지원, 중견기업은 60%, 대기업은 50%까지 금액을 지원하고 수요기업은 정부지원금 외 비용을 부담하도록 하고 있다.

클라우드 서비스 공급기업으로는 KT, LG유플러스와 같이 데이터센터를 보유한 대기업도 일부 포함되어 있고 데이터센터는 없지만 클라우드 서버를 빌려 경영관리, 화상회의 등 솔루션 제품을 만들어 판매하는 중소기업이 다수 참여하고 있다.

한편, 클라우드를 활용한 솔루션 제품은 기업의 데이터를 분석해 만들며, 영업기밀에 해당할 수 있는 데이터는 그대로 클라우드에 다시 저장되는 만큼 클라우드 업무환경에서 가장 중요한 것은 보안이라고 할 수 있다. 그런데 클라우드 공급기업으로 참여한 254개 기업 중 15개 기업에서 개인정보유출, 악성코드 감염 등 총 27건의 보안사고 이력이 확인됐다.

클라우드 지원사업에서 보안사고 이력이 있는 기업들이 선정될 수 있었던 것은 공모선정 과정에서 클라우드 보안성에 대한 평가가 이루어지지 않았기 때문인 것으로 파악됐다.

NIPA는 공급기업 선정시 클라우드 분야의 전문교수들로 전문위원회를 구성해 공모한 기업들을 심사하는데 선정기준에는 클라우드 서비스 보유 및 판매 여부, 산업영향도, 재무건정성이 포함되어 있다.

이에 따라 공모에 지원하는 기업들은 클라우드 제품정보 자료, 사업자등록증, 재무제표 관련 자료만 제출하기 때문에 보안사고 이력이나 정보보호최고책임자(CISO) 신고 여부, 정보보호관리체계(ISMS)인증 여부 등은 확인하는 절차가 없다.

실제로 선정된 클라우드 공급기업 중 7개 기업은 CISO 신고 의무 대상 사업자임에도 아직까지 신고를 하지 않은 것으로 확인됐다.

변재일 의원은 “중소기업 클라우드서비스 적용확산 사업은 코로나19로 인해 비대면 업무 환경을 갖춰야하는 상황에서, 인프라와 자금력이 취약한 중소상공인들의 부담을 덜어줄 수 있는 꼭 필요한 사업”이라고 강조하며 “그러나 클라우드와 같이 보안성이 중요한 사업을 공모할 때는 최소한 정부가 시행하는 제도를 제대로 이행하고 있는 기업인지 확인하는 절차를 마련해야 한다.”고 지적했다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★