국내 보안 업계에는 보안 제품을 보안이라 말 못하는 경우가 더러 있다.
명목상 보안이 아닌, 다른 이름을 붙여 제품을 공급하는 일들이 암암리에 이뤄지고 있는 것이다. 실제로는 보안을 위해 제품을 도입했어도, 그게 보안 제품이라는 사실은 장비를 공급한 업체와 장비를 도입한 고객사 간에 '말할 수 없는 비밀'이 되고 만다.
이들이 보안제품을 보안제품이라 당당히 밝히지 못하는 이유는 다름 아닌, 정부 및 공공기관 진입을 위해 필수로 갖춰야 하는 CC인증을 획득 못한 제품을 사고 팔았기 때문이다. 이 같은 이유로 웹 방화벽이 '콘텐츠 필터링 시스템'으로, IPS(침입방지시스템)나 실시간 보안로그분석 시스템이 'IP로그관리 시스템'으로 둔갑하게 된다.
이같은 상행위는, 제대로 돈과 인력과 시간을 투자해 CC인증을 받고 영업을 하는 보안업체들이 봤을 땐 불공정하고 업계 질서를 흐리는, 결코 용납할 수 없는 일이 아닐 수 없다. 이 때문에 경쟁 업체에서 비인증 제품을 공급한 사실을 뒤늦게 알고, 이를 이용해 자사 제품으로 교체하는 것은 물론, 심지어 그 경쟁사가 사업을 못하도록 발을 묶는 경우까지 있다고 한다. 이게 바로 생존경쟁에 살아남기 위한 보안 업체의 몸부림이자 국내 보안 업계의 현실이다.
최근 한 보안 업체의 보안 신제품에 대한 설명을 들을 기회가 있었다. 3년간 연구 끝에 내놓은 비장의 카드라 했다. 특히, 현재 시중에 활발히 유통 중인 A계열 장비들의 허와 실에 대해 얘기를 하며 이 장비를 보완하는 장비라 자신있게 소개했다.
이 업체 관계자는 "A장비의 핵심 기능은 B인데, 현재 대부분의 장비들은 B 기능을 제대로 지원 못해 은닉된 공격이나 잠재된 공격에는 무용지물이나 마찬가지"라고 털어놨다. 덧붙여 "이미 이로 인한 어려움을 겪어 온 고객들이 자사의 장비를 선택하고 있으며 A장비들과 연동시킨 사례들도 있다"며 시장의 현실을 밝혔다.
이쯤되면 매우 뛰어난 제품인 것 같은데 제품 홍보에 나선 이 업체는, 그러나 자사의 장비가 공급된 사이트만은 절대 밝히지 말아달라고 간절히 부탁했다. CC인증을 받지 못했기 때문이었다. 인증에 소요되는 비용, 시간을 감당할 당장의 여력이 안 되서 CC인증을 받지 못했는데, 가뜩이나 자사 장비의 존재에 대해 못마땅해 하는 A관련 경쟁업체들이 이 사실을 이용해 영업을 방해할 게 불 보듯 뻔하다는 게 이 업체의 하소연이다. 하지만 신제품에 대해 거는 기대가 크고, 이 영역의 기술력 만큼은 누구보다 자신 있으니 지켜봐 달라고 덧붙였다.
사용자들이 보안 제품 도입을 결정할 때 매우 중요하게 검토하는 요소 중의 하나가 레퍼런스 사이트이다. 레퍼런스 사이트는 곧, 제품을 믿고 사용할 수 있는 아주 좋은 타산지석이기 때문이다. 더군다나 위 업체처럼 신제품을 출시한 신생 업체의 경우는 두말할 나위 없이 자사 장비를 공급한 사이트를 보다 널리 알려야 할 입장이다.
그럼에도 불구하고 이처럼 쉬쉬하면서 '비인가 장비가 시장에 존재하고, 이런 장비를 도입해 쓸 수밖에 없는 사이트가 있다'는 사실을 어떻게 받아들여야 할 지, 이를 바라보는 보안 담당 기자로서도 혼란스럽다. CC인증 제도를 경시할 수도, 그렇다고 강력히 지지할 수도 없는 시장현실 속에서 솔직히 뾰족한 대책이 얼른 떠오르지 않는다. 다만 시장의 흐름을 유연하게 반영하는 정부 정책이 있어야 할 것이라는 생각이다.
정부, 공공 기관에서 비인증 장비를 도입한 담당자는 문책감이거나 시정조치를 받게 되는 것으로 알고 있다. 그러나 보안 위협에 대해 100% 완벽한 보안 장비는 존재하지 않는 상황에서, 보안만 강화할 수 있다면 어떠한 제품이라도 살 수 밖에 없는, 오히려 그런 보안 장비를 애타게 기다리는 곳들도 얼마든 있다고 본다. 그게 외산 장비가 됐건, 비인증 장비가 됐건 말이다. 이것이 시장의 생리로 굳혀져 있다면 정부는 이를 수용하고 수용해가는 제도를 만들어야 할 것이다.
기술력 있는 보안 업체들이 인증 하나 때문에 발 묶여 빛 한 번 못보고 무너지는 일을 막는 일도 정부가 보안 산업을 육성하는 정책에 있어 결코 빼놓을 수 없는 중요한 과제가 아닐 수 없다.
김정은 기자
jekim@itdaily.kr