[아이티데일리] 최근 IT 업계에서 외산 소프트웨어(SW)가 보안기능확인서를 취득하지 않은 채 공공기관에 납품되는 사례가 있다는 의견이 제기되고 있다. 사실이라면 이는 국내 소프트웨어 기업들의 공정한 경쟁을 저해하고, 보안 시스템 신뢰성을 위협하는 중대한 문제라고 할 수 있다. 이러한 행위에 대한 사실 확인과 더불어 인증 절차를 강화해야 할 것으로 보인다.

보안기능확인서 제도는 2020년부터 정부가 공공기관에서 도입하는 정보보호시스템의 보안성을 사전에 검증하기 위해 시행한 제도다. 이 제도는 국가정보원(NIS)과 국가보안기술연구소(NIST)가 주관하며, 보안기능확인서를 획득한 제품만이 공공 조달 시장에서 사용될 수 있다. 공공기관은 보안기능확인서를 발급받은 제품만 도입할 수 있으며, 이를 통해 보안성 검증을 선제적으로 수행해 공공 데이터 보호 및 사이버 보안 위협에 대응하게 된다.

보안기능확인서 제도의 도입 목적은 공공기관에서 사용하는 IT 제품의 보안 수준을 높이고, 공공 데이터를 안전하게 보호하는 데 있다. 보안성이 검증된 제품만을 공공기관에서 사용함으로써 정보 유출, 해킹 등의 사이버 위협을 방지하겠다는 것이다.

‘CC인증’ 받은 제품을 보안기능확인서 인증 받은 것처럼

2020년 보안기능확인서 인증 제도에 앞서 우리나라는 ‘CC인증(Common Criteria Certification)’제도를 운영하고 있었다. 해당 인증은 정보보호 제품의 보안성을 국제적으로 평가하고 인증하는 제도다.

2020년 이전에는 국내 공공기관에 납품되는 SW 상당수가 CC인증을 받은 제품이었지만 보안기능확인서 인증 제도가 시행되면서 보안기능확인서를 받은 제품만이 판매가 가능토록 요건이 변경됐다. 물론 2020년 이전에 CC인증을 받은 제품은 인증기한이 유효한 상태라면 제품을 납품할 수 있다. 특히 제품유형 중 △SW기반 보안 USB 제품 △가상화 관리 제품 △네트워크장비 등에 대한 제품군은 2020년 1월 이후 보안기능확인서를 받은 제품에 대해서만 판매가 가능하도록 요건을 변경했다.

그러나 문제는 해당 제품군에 속한 SW 가운데 ‘2020년 1월 이후에 CC인증을 받은 제품’을 요건이 변경됐음에도 불구하고 보안기능확인서를 인증받지 않은 채 판매하고 있는 업체가 있다는 것이다.

이를 지적한 업계 관계자 B씨는 “관련기관에 이 부분에 대해 문의한 결과 A업체는 1개 제품만 현재 보안기능확인서 인증을 받았을 뿐 다른 제품은 CC인증만 받은 상태다”며 “2020년 이전에 취득한 CC인증 제품들은 2024년 9월 현재 상당수가 유효 기한이 끝난 상황인데다가 2020년 이후에 CC인증을 받은 제품들은 변경된 요건을 충족해야 하는 ‘보안기능확인서’를 별도로 취득하지 않고 버젓이 판매하고 있는 것으로 알고 있다”고 불만을 토로했다. 결론적으로 제품 2개 중 1개만 보안기능확인서를 취득했는데, 나머지 제품도 모두 취득한 것처럼 판매한다는 것이다.

또 B씨는 “게다가 해당 업체는 외산 SW를 표면적으로 융합적인 SW로 포장해 보안기능확인서를 인증받은 것으로 보인다”며 “기술력으로 결코 외산 제품에 뒤지지 않는 국산 SW가 공정한 페어플레이를 할 수 있는 시장경쟁을 교란하는 행위라고 판단된다”고 말했다.

따라서 정부 유관 부처와 국회 상임위원회가 나서서 심각하게 문제를 제기하고 해결책을 함께 모색해야 한다고 B씨는 주장했다. 그는 △어느 업체든 정해진 규정을 준수해 시장에 참여할 것 △정부기관에서는 편법을 사용해 시장경쟁에 참여하는 행위를 막기 위한 방안을 고려할 것 △보안기능확인서 등의 인증 절차를 보다 까다롭게 할 것 등을 요구했다.

외산 가격 정책과 국내 시장에서의 입지 수면 위로

이와는 별도로 국내 공공시장에서 외산이 우위를 점하고 있어 우려를 낳고 있다. 행정안전부가 최근 발표한 ‘2024 행정 및 공공기관의 정보자원 현황 통계’에 따르면, 정부·공공 운영 SW의 57.7%는 외산인 것으로 나타났다. 이런 가운데 외산 업체들이 국내 시장에서 일방적인 가격 인상 정책을 시행하는 경우도 흔히 발생한다. 외산 제품은 국내 시장에서 인지도 등 여러 이유로 널리 사용되고 있지만, 가격 상승 문제는 지속적인 부담을 초래한다. 특히 유지 관리 비용과 라이선스 비용이 지속적으로 상승하면서, 공공기관에 재정적 부담을 주고 있다.

이러한 가격 인상은 외산 SW의 의존도가 높은 공공기관들에 큰 영향을 미치고 있다. 특히 예산에 대한 부담, 관리 문제를 야기한다. 공공기관은 비용 절감과 효율성 제고를 목표로 하면서도, 외산 제품의 가격 상승에 대한 통제력이 약한 상황에 처해 있다. 외산 제[품의 가격 상승에도 공공기관들은 쉽게 다른 제품으로 전환하지 못하는 실정이다. 다른 제품을 도입했을 때 혹시 문제가 생기지나 않을까 걱정되기 때문이다.

이런 상황에서 보안기능확인서를 비롯해 각종 공공시장에 참여하는 인증 제도들이 허술할 경우 외산 점유율은 지속해서 높아질 것으로 보이며, 국산의 점유율이 낮을수록 국내 업체들은 추후 개발 R&D 예산을 줄이는 등 악순환이 계속될 것으로 전망된다.

“규칙에 어긋나는 행위를 해도 안걸리면 그만”이라는 생각을 가진 업체들이 있는 한 순수 국산 원천기술 보유율은 낮아지고 결국 국가 전체가 외산에 의존할 수밖에 없을 것이이라고 전문가들은 우려하고 있다.

국산 둔갑한 외산 SW, 5년간 방치돼 공공기관 납품 사례도

이와 더불어 외산 SW가 국산으로 둔갑한 사례도 있다. 조달청 나라장터에 등록된 한 SW의 원산지 표기 오류로 인해, 중국산이 국산으로 둔갑, 5년 동안 공공기관에 납품된 사례가 발생한 바 있다. 이 사건은 외산 SW가 원산지 오류를 통해 장기간 공공기관에 납품되면서 조달청의 관리 허점이 드러났다는 점에서 중요 문제로 지적됐다.

해당 소프트웨어는 2017년 한 조달대행업체가 조달청 나라장터에 등록하면서 원산지를 잘못 기재한 것이 발단이다. 실제로는 외산 SW였지만, 이 제품은 국산으로 잘못 표기돼 5년 동안 여러 공공기관 및 학교에 공급됐다. 공공기관에서 사용된 해당 제품은 조달청의 시스템 오류로 인해 그동안 아무런 조치 없이 방치된 상태로 유지됐다.

2021년 해당 소프트웨어의 저작권 등록이 취소되고 GS(Good Software) 인증도 정지되면서 문제의 심각성이 부각됐다. 저작권이 말소된 이후에도 원산지 오류는 계속 방치됐고 문제는 민원을 통해서야 뒤늦게 밝혀졌다. 이는 공공기관에 납품된 소프트웨어의 관리 및 인증 절차에서의 문제점을 드러낸 대표적인 사건으로 평가받고 있다.

해당 업체가 고의로 둔갑을 시킨 것인지에 대해서는 밝혀진 바 없다. 당시 해당 SW를 공급한 업체는 “외산 SW를 의도적으로 국산으로 둔갑시킨 것이 아니다”고 해명했다. 조달대행업체의 실무자가 원산지를 잘못 기재한 실수로, 계약이 변경되는 과정에서 오류가 발견됐다는 입장을 밝혔다. 하지만 해당 오류가 무려 5년 동안 발견되지 않고 방치된 것은 조달 시스템의 허점을 여실히 보여주는 사례로 남았다.

공공시장에서 ‘공정성’ 지키고 국산 살려야

보안기능확인서 발급 과정에서 소프트웨어의 출처와 개발 과정을 더욱 철저히 검증해야 한다는 의견도 있다. 특히 외산 제품이 국산으로 위장하는 것을 방지하기 위해 제품의 원산지와 개발사를 명확히 구분하고 검증하는 절차가 강화돼야 할 것으로 보인다.

또 국내 SW 산업에 대한 지원을 강화해야할 필요성이 있다. 직접 개발한 SW를 판매하는 우리나라 업체들이 외산 제품과 공정하게 경쟁할 수 있도록, 정부 차원에서 연구개발(R&D) 지원을 강화하고, IT 인프라 확충에 힘써야 한다. 또 국내 기업들이 기술력을 바탕으로 더 큰 시장에서 성장할 수 있도록, 세제 혜택과 기술 이전 등 다양한 지원책이 마련돼야 한다. 이와 더불어 공공 조달 시장에서 국산 제품이 정당하게 경쟁할 수 있도록, 공정한 조달 절차를 확립해야 한다.