대부분의 직장인들은 창업을 꿈꾼다. 가슴속 깊은 곳에 직접 회사를 설립해 경영자로서 활동하는 원대한 야망을 품고 있는 것이다. 하지만 꿈을 꾸는 것과 실제로 창업을 하는 것은 현실적으로 하늘과 땅 만큼의 차이가 있다. 그만큼 창업에는 많은 용기가 필요하다.

정보보안업계 특히 기업의 보안을 진단하는 보안컨설팅업계에는 많은 회사들이 존재한다. 그리고 그 중 대부분은 직원 20명 이하의 소규모 회사들이다. 소규모 회사들은 대부분 IT업계에서 누구나 들으면 아는 기업인 안랩, SK인포섹, 이글루시큐리티와 같은 회사들의 협력사나 하청업체 같은 형태로 업무를 수행하고 있다. 물론 그들도 자신의 이름을 걸고 사업을 하는 경우가 있지만 대체로 작은 기업이나 소규모 사업에 불과한 것이 현실이다.

만약 작은 회사라고 작은 일만 해야한다고 생각한다면 불합리한 생각이다. 특히 보안컨설팅과 같은 업종의 경우 더욱 그렇다. 보안컨설팅은 회사의 규모보다 개개인의 역량에 의해 사업의 성과가 좌우되는 성향을 가지고 있기 때문이다. 따라서 작은 회사여도 구성원의 역량이 뛰어나다면 대형 기업의 사업도, 대규모 사업도 할 수 있어야 한다.

그러나 한국에서는 그런 일이 벌어지지 않는다. 사업을 발주하는 기업에서 꺼리는 경우도 존재하지만 근본적으로 법으로 규제하고 있음에 기인한다.

국내 보안컨설팅 비지니스 시장에서 가장 큰 규모를 가지고 있는 분야는 법에서 기업이나 기관에게 강제하는 보안진단 시장이다. 대체로 공공기관에 적용되는 주요정보통신기반시설 진단이나 개인정보영향평가, 금융회사에 해당되는 전자금융기반시설 진단이 그것이다.

그리고 이같은 사업은 법에서 정한 심사를 통과해 자격을 획득한 업체에게만 그 수행자격이 주어진다. 다시 말해 가장 큰 규모의 시장을 기득권을 획득한 업체들끼리 안정적으로 나눠먹고 있는 형세다.

중요한 시설들에 대해 보안을 점검하는 것이니 만큼 그 자격기준이 엄정할 수 있음은 인정된다. 그런데 그 자격기준 가운데 자본금 규모와 소속 인력들의 재직기간에 대한 기준이 포함돼 있어 능력이 있어도 자본금 규모 등에서 열악할 수 밖에 없는 신생업체들의 시장진입을 차단하는 용도로 활용되고 있다는 점이 중요하다.

'정보보호 전문서비스 기업지정 등에 관한고시'를 보면 자격기준을 '재무제표상 자본총계가 10억원 이상일 것'과 '해당 기업에서 3년이상 근무한 직원의 비율이 일정수준을 넘을 것'을 요구하고 있다. 그리고 이러한 기준들이 능력있고 경험을 갖춘 신생 창업기업들이 해당 시장에 뛰어드는 것을 방해하는 요소로 작용, 기득권 기업들의 협력사 내지는 하청업체로 전락되도록 강요하고 있다.

각종 신기술들이 난무하고 능력있는 사람들의 창업열기가 뜨거운 요즘이다. 외부 환경도 변화해 이전의 낡은 기준으로는 변화하는 시장의 변화를 따라갈 수 없다. 그렇다면 정보보안기업을 평가하는 기준 역시 바뀌어 새로 창업한 회사들이 적극적으로 기존 시장에 뛰어들어 선행회사들과 경쟁할 수 있도록 해주어야 한다. 

단순히 기업이 가지고 있는 자본의 규모와 오랫동안 재직했던 사람이 몇명인지가 그 회사의 능력을 의미하지 않는 시대에 우리는 살고 있다. 신생기업이 품고 있는 기술역량과 능력을 평가할 수 있는 심사기준을 통해 능력있는 창업자들이 정보보안시장에 적극적으로 뛰어들 수 있는 환경이 마련되기를 기대해 본다. ⓒ 세이프타임즈