국가정보원의 보안적합성 심사기준이 완화되면서 이제 보안제품에 대한 소스코드를 제출하지 않아도 정부 공공기관에 제품을 공급할 수 있기 때문이다.
그러나 성능보다 가격이 우선시되는 공공시장의 납품관행이 개선되지 않는 한, 시장구도의 급격한 변화는 없을 것이라는 전망도 우세하다.
◇ 문호 개방된 '공공 보안시장'
국가공공기관에 보안제품을 납품하기 위해서는 정보보호제품 국제공통평가기준(CC) 인증과 함께 국가정보원의 보안적합성 검사를 거쳐야 한다.
보안적합성 검증제도란 국가정보통신망의 보안수준을 제고하기 위해 국가 공공기관에 도입하는 정보보호제품의 보안적합성과 안정성을 사전 검증하는 제도다. 우리나라가 지난 2006년 국내 자체 보안제품 평가제도인 'K' 인증제도 대신 국제기준에 맞춘 'CC(국제공통평가기준)' 인증제도로 전환된 뒤 새롭게 신설됐다.
그러나 외산 보안업체의 경우, 이 과정에서 제품 소스코드 유출 등을 우려해 그동안 보안적합성 검증을 극도로 기피해왔다.
그러다가 지난해부터 보안적합성 검사기준이 단계적으로 완화되면서 올 들어 굳이 제품의 소스코드까지 제출하지 않아도 국가공공시장에 보안제품을 납품할 수 있도록 변경됐다. 사실상 외산업체들에도 공공보안시장에 참여할 수 있도록 문을 열어 놓은 것이다.
지난해 한국쓰리콤의 '침입방지시스템', 워치가드의 '통합위협관리'가 국가정보원의 보안적합성 검증을 받은데 이어, 올 들어 아크사이트의 '통합보안관리'와 시스코시스템즈의 '침입차단' 등의 외산 제품들이 보안적합성 검증을 통과했다.
올해부터 CC인증을 획득한 뒤 수요기관에서 보안적합성 검사를 받도록 공공기관 보안제품 납품절차가 바뀐 뒤로는 주니퍼네트웍스의 '침입차단시스템'이 보안적합성 검사를 통과했다.
◇ 외산 對 국산, 경쟁구도?
이에 따라 공공 보안시장이 '국산 독주'에서 '외산對국산'간 경쟁체제로 무게중심이 옮기는 것 아니냐는 관측이 제기되고 있다.
그러나 현재의 시장 구도가 당분간 쉽게 바뀌지 않을 것이란 전망이 우세하다. 외산기업들이 이제 막 공공기관에 납품할 수 있는 자격요건만 갖췄을 뿐, 아직도 넘어야 될 산이 많다. 아직까지 공공기관의 납품조건은 '성능'보다 '제안가격'이 우선시되고 있기 때문이다.
실제 한국쓰리콤은 지난해 보안적합성 검증을 통과했지만, 납품한 공공기관은 5곳에 그치고 있다.
한국쓰리콤 관계자는 "본사와 가격조율을 거쳐야 하기 때문에 가격 덤핑을 하는 국내 경쟁사들을 당해낼 재간이 없다"고 했다. 또 다른 외산업체 관계자도 "국가공공기관들이 '성능평가(BMT)'보다는 '가격조건'을 우선시하는 관행이 개선되지 않는 한, 외산이 공공시장에 발붙이기 쉽지 않을 것"이라고 했다.
반면, 이 같은 시장변화가 '가격' 경쟁력으로 방어해야 하는 토종업체들 입장도 어렵기는 마찬가지다. 가뜩이나 공공시장 영업에서의 채산성이 낮은데, 외산장비를 빌미로 수요기관들의 가격인하 요구가 거세지고 있기 때문이다.
국산 보안업체 한 관계자는 "경쟁사 입찰 참여를 빌미로 더 낮은 가격을 요구하는 공공기관들이 적지않다"며 "시장을 수성해야 하는 입장이다보니 이를 무시하기도 어려운 형편"이라고 토로했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>