“소스코드 공개는 면제 받았으나 보안적합성 검증 만만치 않아”







지난해 5월 한국의 CCRA 가입 이후 해외 CC인증을 보유한 다수의 외산 보안 업체들은 요즘 국내 공공시장 진입을 위한 마지막 관문이라 할 수 있는 보안적합성 검증을 받기 위해 국정원 문턱을 분주히 넘나들고 있다. 그러나 이들은 아직 이렇다 할 성과도 거두지 못하고 있다. 외산 보안업체들은 검증을 받는 과정에서의 어려움과 검증을 받은 이후 시장에 대한 불확실성 등으로 공공시장 장벽을 넘기가 여전히 쉽지 않은 상황이라고 토로한다.
현재 보안적합성검증을 심사를 받고 있는 업체들은 포티넷, 주니퍼네트웍스, 워치가드, 맥아피 등이며, 이들이 성과를 내면 다른 외산 보안 업체들도 뒤를 이어 공공시장 진입을 위한 과정을 적극적으로 밟게 될 것으로 예상된다.
보안적합성 검증 받기 ‘어렵다’
외산 보안 업체들은 ‘보안 적합성 검증’ 제도가 소스코드 제출을 요구하고 있진 않지만 절차상 제품을 사용하고자 하는 고객이 직접 보안 적합성 검증 심사를 요청하도록 돼 있어 사실상 쉽지 않은 관문이라고 말한다. 이들은 적절한 고객 찾기도 어려울뿐더러 심사 과정 시 필요한 서류 준비에서도 적지 않은 어려움을 겪고 있는 것으로 파악된다.
보안적합성 검증 심사를 받고 있는 한 외산업체 지사장은 “인증 내용을 번역한 자료가 몇 백 페이지나 되는데 IT 전문가에게 번역을 맡기지 않는 이상 일일이 내용이 맞는지 확인해야 하는 번거로움이 따르며 국정원의 지속적인 추가 제출서 요구에 많은 투자와 노력이 수반되는 게 사실”이라고 전했다.
이 같은 분위기에도 불구하고 빠르면 한 달, 늦어도 1사분기 내 보안적합성 검증을 획득한 최초의 외산 업체가 나오게 될 것이라고 외산 보안 업체들은 주장한다. 하지만 국산 보안 업체들은 ‘힘들게 외산업체들이 보안적합성 검증을 통과한다 하더라도 공공시장에서 이들을 두 팔 벌리고 환영해줄지 미심스럽다’며 외산 업체들의 부푼 기대에 차가운 시선을 던지고 있다.
국산 "가격, 기술 지원, 제품 호환성 등 이점 더 많아"
실제 공공 시장이 개방됐다고 해서 외산 업체들이 당장 공공시장을 장악하기는 쉽지 않을 것이라며 국산 업체들은 비교적 느긋한 태도를 보이고 있다. 국산업체들이 커스터마이징이나 유지보수 지원 측면에서 외산업체들 보다 유리하다는 점과 무엇보다도 제 값 받기 힘든 공공시장의 ‘헐값 관행’을 외산업체들이 쉽게 뚫고 나갈 수 없을 것이라는 이유에서다.
또한 그간 공공기관에 뿌려진 국산 제품과의 호환성 문제도 큰 걸림돌이 될 것으로 예상된다. 공공기관의 경우 특히 주요기관과 다수의 산하 기관 간의 호환성을 위해 기 도입한 제품을 지속적으로 도입하는 경우가 태반이라는 게 국내 업체들의 설명이다. 이 밖에 외산 제품의 경우 실제 UI 등에 있어 부자연스러운 한글화 지원으로 인해 기존 국산 제품의 UI에 익숙한 사용자들이 외산 제품의 UI에 새롭게 적응하는 일도 쉽지 않을 것이라는 의견이 높다.
국내 방화벽 관련 업체의 한 담당자는 "외산업체들이 공공시장을 윈백하기 위해서는 가격경쟁력과 제품의 호환성, 유지보수 등 고객들이 고려하는 사항이 많기 때문에 현재 사용하고 있는 장비에 큰 문제가 없는 한 제품 교체는 쉬운 일이 아닐 것"이라고 전했다. 또 외산 제품에 비해 국산 제품은 관리자의 관리 능력 및 보안 지식도 많이 필요로 하지 않으며 제품의 한글화 지원에 있어서도 확연한 이점을 제공한다고 덧붙였다.
이러한 점들 때문에 앞으로 외산 업체들이 힘겹게 보안적합성 검증 심사를 통과해 공공시장 진입이 가능해진다고 하더라도 실제로 이 시장에서 눈에 띄는 실적을 얻기는 쉽지 않을 것으로 전망된다. 공공시장에서 국내외 제품 간 공정 경쟁을 통해 외산 제품이 국산 제품에 비해 월등히 높은 평가를 받아 선택받지 않고서는 공공시장 진입 및 시장 확대는 어려울 것이며, 국산 업체 역시 외산 제품에 맞서 시장을 지켜내기 위해서는 경쟁력을 키울 수밖에 없다는 업계 목소리가 높다.
국산 대 외산 ‘불꽃 경쟁’ 벌일 듯
현재 외산 보안 업체들이 보안 적합성 검증을 받기 위해 투자와 노력을 아끼지 않고 있는 이유는 한국의 CCRA 가입 이후 CC인증이 전 세계 통용제도가 됨에 따라 국내에서도 해외 CC인증을 허용하게 됐기 때문이다. 이는 국내 공공 시장을 진입하기 위해서는 반드시 소스코드를 공개해야 한다는 기존의 절차 즉, 외산업체들로서는 넘을 수 없는 장벽이 제거됐음을 의미한다. 국내 보안시장에서 큰 비중을 차지하고 있는 공공시장이 사실상 개방됐다는 점에서 외산업체들에게는 반가운 일이 아닐 수 없다. 다만 정부는 지난해부터 해외 CC인증을 획득한 외산 보안업체들에게 공공시장 문을 열어주는 대신, 국가 전산망에서 요구하는 보안 수준에 제품이 적합한지를 평가한다는 명목 하에 보안적합성검증 심사를 요구하고 있다. 따라서 CC인증과 보안적합성검증은 이제 공공시장에 진입하기 위한 모든 보안 업체들의 필수항목이 됐고, 특히 국내가 아닌 해외에서 CC인증을 획득한 외산 업체들은 현재 보안 적합성 검증을 놓고 검증기관인 국정원과 언제 끝날지 모르는 힘겨운 줄다리를 하고 있는 상황이다.
외산 업체들이 과연 이러한 과정을 뚫고 올해 공공시장 진입에 성공할 것인지와 더불어 머잖아 벌어질 국내외 업체들 간의 치열한 경쟁이 어떤 결과를 보일지가 올 한해 보안업계 최대 관심사로 떠올라 있다.
김정은 기자 jekim@rfidjournalkorea.com
저작권자 © 아이티데일리 무단전재 및 재배포 금지