CC인증은 보안 업체들에게 어떤 의미일까? 공식적으로 제품의 보안성과 안정성을 검증받는 절차이다. 하지만 보안업체들이 생각하는 이 인증의 의미는 공공시장 진입을 위한 '출입카드' 획득에 더 가깝다. 이 공공시장 '출입 카드'의 획득 여부에 따라 보안 업체들은 사업의 성패가 판가름 나기도 한다.
한 보안 업체 CEO는 벽에 걸린 인증서를 가리키며, "GS인증은 1,000만원 주고 샀고, CC인증은 1억 5,000만원 주고 산 것"이라며 "품질 인증제 등 신규 인증제도가 생기면 또 다시 돈 주고 사면 그만"이라고 말했다. 이 말은 곧, CC인증이 단순히 돈이 있는 업체와 영세한 업체를 구분하는 수단에 불과하다는 것이다.
이 CEO는 "오히려 기술력은 있지만 영세한 업체들이 꽃 한번 제대로 피우지 못하게 만든 근원이 CC인증"이라는 극단적인 표현도 서슴지 않았다. 실제 그동안 보안업체들을 취재하면서 CC인증을 받지 못했다는 이유로 사업에 어려움을 겪어야 하는 업체들을 여럿 보았고, 단순히 앞서 인증을 획득했다는 이유로 특정 업체가 공공시장을 선점하는 일도 수없이 많이 봤다. 물론 이 가운데는 CC인증을 받을만한 여력이 안 되는 업체도 있었고, 인증을 앞세워 시장을 선점했다가 결국 문을 닫고만 업체도 있었다.
어쨌거나 최근 CC인증에 대한 보안업계의 시선은 그리 달가운 표정이 아니다. 특히 국내용 CC인증에 대한 실효성에 의문을 제기하는 의견들이 비등해지고 있다. 더 이상 국내 업체를 보호하기 위한 제도도 아닐뿐더러, '돈과 시간'만 요구하는 장애물로 전락했다는 시각이 우세해지고 있는 실정이다.
과거 K4인증, 보안적합성검증, 국내용 CC인증 등은 정부가 국내 보안업체들을 위해 설치해놓은 보호막이었다. 그러나 지난해 보안적합성검증이 사후 검증으로 바뀌면서 보호막이 공식 해제됐다. 이제 CC인증만 있으면 국내외 보안업체 모두가 공공시장에서 동등 경쟁이 가능해진 상황이다. 국내 보안업체들은 "기존 국내 업체들간에도 CC인증을 획득할 여력이 되는 업체가 시장에서 유리한 고지에 올랐듯이, 결국 자본력 있는 외산 업체들이 공공시장에서 유리해질 게 분명하므로 더 이상 CC인증이 공공사업을 위한 강제사항일 필요가 없다"고 주장하고 있다.
CC인증은 국내 업체들을 위한 보호막이었을 때도 토종리그의 보안생태계를 왜곡시켰으며, 이제는 외산업체들까지 합류하여 그 폐해가 더 심해질 거라는 우려의 목소리이다. 올해는 외산업체들이 국내 보안시장에서 그동안 감춰진 능력을 발휘할 수 있는 시험무대가 될 것으로 예상된다.
미국, 유럽 세계 어느 나라도 CC인증이 공공사업을 위한 필수 요건은 아니라고 한다. 국내 업체들을 보호하기 위해 만들어진 국내용CC인증 제도를 두고 국내 업체들 사이에서 오히려 불편한 걸림돌이라는 주장이 나오고 있다면, 이 제도는 더 이상 실효성이 없다고 보는 게 옳다. 그렇지 않아도 자금압박에 시달리고 있는 기업들에게 비용부담만 지우는 제도는 재빨리 폐기돼야 한다.
김정은 기자
jekim@itdaily.kr