임종철 디자이너 /사진=임종철 디자이너사이버 공격이 거세지는 상황에서 혁신적 보안 신기술 도입을 촉진하는 동시에 공공기관별 보안위협수준과 무관하게 일률 적용되던 기준을 세분화해 비효율을 개선할 것이라는 평가가 크다. 반면 보안적합성 심사완화가 외국산 보안 제품의 국내 시장 잠식으로 이어질 것이라는 우려도 제기된다.
전체 국가·공공기관의 약 5%인 '가' 그룹에는 중앙행정기관, 주요 기반시설 관리기관, 국방부 및 산하기관, 방위사업청·경찰청 등 국민 안전과 밀접한 데다 국가 중요시설을 관리하는 주요 기관들이 속해 있다. 이들은 기존처럼 국정원의 보안적합성 검증 절차가 그대로 진행된다.
나머지 57%를 차지하는 기관에는 중앙행정기관 산하 위원회나 기초 지자체 및 산하기관, 초중고교 등이 있다. 이들은 자체 판단으로 사전 인증요건을 자율적으로 지정할 수 있고 보안적합성 검증도 생략할 수 있다.
"국내산 IT보안 제품의 혁신성 높일 기회"
이미지투데이이 시각 인기 뉴스
기존 공공기관은 모두 국정원의 보안적합성 검증을 통과한 제품만 써야 했다. 초등학교와 국방부가 같은 수준의 보안검증 요건을 통과한 제품을 썼다. 게다가 규정화된 검증기준으로 스타트업의 혁신 IT보안 제품은 공공시장에 발붙이기가 어려웠다. 인증이 없으면 제품납품도 제한돼 고객사례를 확보하지 못하는 악순환이 반복됐다. 인증이 장벽처럼 작용해 혁신이 발붙일 여지도 적었다는 얘기다. 이는 정보보호 기업의 해외진출등에도 걸림돌로 작용해왔다.
이같은 지적이 잇따르자 과기정통부 등 당국은 최근 혁신 정보보호 제품이 소스코드 보안약점 진단 등을 일정요건을 충족하면 국가·공공기관에 납품할 수 있도록 인증해주는 신속확인제를 도입하기로 했다. 국정원 역시 이같은 신속확인서를 받을 때 '나' 등급 공공기관이 도입하려는 IT보안 제품에 보안적합성 심사를 생략해주기로 했다.
업계에서는 이번 국정원의 보안적합성 검증 완화가 혁신기술을 반영한 IT보안 신제품의 공공시장 진출 문턱을 낮춘 것으로 평가한다. IT보안제품을 개발할 때 혁신을 도모할 여지도 커졌다는 것이다.
"외국산 제품에 시장잠식될 우려도"다만 국정원의 보안적합성 검증 완화가 해외 업체들의 국내 시장 진입에 물꼬를 틀 것이라는 우려도 있다.
국정원의 보안적합성 심사를 통과하기 위해서는 IT보안 제품 개발에 쓰인 소스코드까지 모두 공개해야 했다. 국내 업체들은 이를 당국에 제공해왔지만 외국계 업체들은 IP(지식재산권) 보호 등 이유로 응하지 않았다. 자연히 국내 제품만 국가·공공기관에 납품될 수밖에 없었다.
이번 국정원의 개편안은 '나' 그룹 기관들이 도입할 IT보안 제품이 해외에서 CC인증을 받았을 때 보안적합성 심사를 면제해주는 내용을 담고 있다. 외국 제품의 국내 공공시장 진출을 막던 장벽 하나가 사라진 셈이다.
일각에서는 '나' '다' 그룹에 대한 보안적합성 심사 완화 또는 면제가 국내 기업들 매출에 큰 영향이 없을 것으로 보기도 한다. 지난해 기준 4조5497억원 규모의 국내 IT보안시장에서 국가·공공 부문의 비중이 40%이고, 여기서도 약 70%(전체 시장의 28%) 정도가 '가' 그룹이어서다. '나' '다' 그룹이 기관 수로는 95%로 많지만 지출예산의 규모는 30% 수준에 불과하다는 게 업계의 추정치다.
그러나 한번 물꼬가 뚫리면 외산 제품의 국내 공공시장 공략이 가속화될 것이라는 걱정은 여전하다. 특히 공공분야 보안 제도개선에 민간분야도 영향받을 여지가 크다.
한 업계 관계자는 "앞서 정보보호 시스템은 국가기관의 평가·인증을 받아야 한다는 전자금융감독규정의 조항이 2015년 삭제된 이후 금융 IT보안 시장의 상당 부분이 외국계 기업에 잠식당했다"면서 "당시 경험 때문에 업계에서 보안적합성 심사 완화 여파도 비슷할 것으로 우려한다"고 말했다.
