'정보보안업 진흥' 팔걷은 정부...정보보호 공시제, 신속확인제에 업계 기대감↑

[MT리포트] 보안 유니콘 하나 없는 나라④

세종시 과학기술정보통신부/뉴시스

국내 정보보호산업이 크게 활성화되지 못했던 것은 정부의 정책적 지원이 부족한 동시에 낡은 제도 때문이라는 목소리가 높다. 정부 역시 이같은 문제점을 인식하고 지난해 신속확인제도와 정보보호 의무공시 제도 등을 새로 도입하면서 정보보호 산업계의 기대감을 키우고 있다.

2일 과기정통부에 따르면 에프원시큐리티가 개발한 'F1-WEBCastle V2022.07'이 지난 16일 국내 첫 신속확인제품 승인을 받아 출시됐다. 호스트 기반의 웹 방화벽인 이 제품은 지난해 11월 신속확인제도가 도입된 이후 첫번째로 상정된 심의 안건이다. 신속확인제도 통과 제품은 확인서 발급일로부터 2년 동안 효력을 인정받는다.

신속확인제도는 마땅한 평가 기준이 없어 인증을 얻기 어려운 신기술 및 융·복합제품을 국가나 공공기관에 도입할 수 있도록 제품 보안성과 기능 적합성 등을 점검하는 제도다. 그동안 업계에서는 혁신적 보안 신 기술을 개발해 제품에 적용시켜 출시해도 평가할 수 있는 기준이 없다는 이유로 판로가 막히는 사례가 비일비재했다.

대표적인게 'CC인증'이다. IT 제품의 보안성을 평가해 인증하는 제도인데 받는데만 1년 가까이 걸려 시장진입이 늦어진다. 그럼에도 국가·공공기관에 납품하려면 반드시 CC인증이 필요해 울며 겨자먹기로 인증을 신청하는 상황이었다. 공공분야 판매사례(레퍼런스)가 없으면 민간 진출은 물론 수출, 투자유치 역시 요원하다.

이에 대한 비판이 쇄도하자 정부가 지난해 11월 도입한 게 신속확인제도다. 이에 최신 기술을 보유한 기업들은 별도의 평가 기준 없이도 보안성을 인증받을 수 있게 돼 국가·공공기관 납품 자격을 얻을 수 있게 됐다.

과기정통부 관계자는 "CC인증만 고집하다 보면 국가·공공기관은 신 기술을 도입하지 못해 새로운 유형의 위협에 대응하기어려워 진다"면서 "신속확인제도를 적극 활용하고 심의에 통과한 제품을 국가·공공기관에 적극 도입될 수 있도록 도울 계획"이라고 말했다.

판교데이터 센터 화재사고로 인해 실효성 논란이 제기된 ISMS-P(정보보호 및 개인정보 관리체계 인증) 제도에 대해서도 "산업별로 특화하거나 등급을 세분화하는 방식으로 개선해 나갈 예정"이라고 덧붙였다.


인증제도 개선과 함께 정보보호 의무공시 제도 강화도 정보보호산업에 대한 기업 투자를 촉진시켰다는 평가를 받는다. 정보보호 공시제도는 기업의 △정보보호 투자현황 △정보보호 전문인력 현황 △정보보호 인증 현황 △이용자 정보보호 활동내역 등을 소비자에게 공시하는 제도다. 정부는 자율규제로 운영하던 제도를 지난해부터 의무대상 기업을 선정해 적용하고 있다.

정보보호에 대한 투자내역이 투명하게 공개되는 만큼 기업이 보안 사고시 잘못을 추궁당할 가능성이 있어 투자를 늘리는 효과가 있다. 올초 개인정보 유출사고가 터진 LG유플러스의 경우 정보보호 공시 확인 결과 경쟁사 보다 보안 투자와 인력배치가 절반이하로 적었던 것으로 드러나 여론의 뭇매를 맞았다.

업계 관계자는 "정보보호 공시의무 제도 시행이후 기업들이 고객 신뢰를 얻기 위해 보안투자를 확대하는 것이 느껴진다"면서 "올해부터 정보보호 공시를 미흡하게 한 기업에 과태료를 부과하는 등 제재를 강화해 투자확대 기대감이 커지고 있다"고 밝혔다. 이어 "윤석열 정부들어 사이버보안 육성을 공약한데다 AI와 클라우드 확산으로 보안 허점이 더 늘어난 만큼 '제로트러스트'와 같은 보안원칙과 육성책을 더 촘촘히 해야한다"고 말했다.