토종 보안업체들 ‘텃밭인 공공시장 잃을까’ 전전긍긍, ‘경쟁력만이 살 길’ 정부 업계 사용자 모두 동참해야
CCRA 가입 후 토종 보안업체들 좌불안석
지금까지 우리나라 보안시장은 소스코드를 공개해야 하는 국가정보원의 CC인증을 받아야 하는 절차 위에서 형성돼 왔다. 민간기업은 여기에 해당되지 않지만 상대적으로 거대한 수요처인 공공기관은 이 절차를 반드시 밟아야 했기 때문에 소스코드 공개를 꺼려하는 외국업체들은 사실상 이 시장을 포기해왔다.
외산 업체들에겐 원성의 대상이자 국산업체들에게 최대의 호혜인 국가정보원 주도의 한국적 CC인증제는 그러나 지난해 5월 우리나라가 CCRA에 가입함으로써 그 위력을 상실하게 됐다.
CCRA는 가입당시 명분대로 국내 보안 산업의 경쟁력을 높이기 위한 방안이 될 것이라는 의견도 없지 않다.
한국정보보호진흥원 보안성평가단 노병규 단장은 “CCRA가입으로 외산업체들의 국내 공공시장 진입이 쉬워진 것처럼 국내업체들의 해외 사업도 활성화될 것으로 기대된다”고 전했다. 특히 해외 사업을 강화하기 위해 앞으로 고등급의 인증을 확보하기 위한 업체들의 노력이 이어져 국내 보안업체들의 기술 및 서비스 경쟁력이 한층 상승될 것이라는 게 노 단장의 설명이다.
또한 CC인증 평가 관계자들은 “과거 K시리즈 평가 인증 제도가 국내 실정에는 더 적합했던 게 사실이지만, 모든 것이 개방화되고 있는 추세이고 정보의 질적 수준을 높이기 위해서라도 보안인증평가 역시 국제 수준에 맞춰가야 바람직한 방향”이라며 “국내 보안 업체, 평가 인증기관 모두 제품의 질과 서비스의 수준을 높여 무한 경쟁에 대비해야한다”고 전했다.
하지만 국산 업체들은 득보다는 실, 기회보다는 위기가 될 것이라고 아우성이다. 어떠한 대비책도 없는 무방비 상태에서 국내 전 보안시장을 개방화한다는 것은, 자신들의 텃밭인 공공시장을 외산업체들에게 고스란히 넘겨주는 결과만 낳을 뿐이라는 것이다. 국산업체들은 고급 기술 수준을 확보, 해외시장에 진출하기는커녕 그 전에 고사돼버릴 수도 있다는 우려를 앞세우고 있는 것이다.
국내업체들의 텃밭 ‘공공시장’은 격전장 예고
실제로 외산업체들은 공공시장 진입이 쉬워졌는지 여부를 검증하기 위해 앞 다퉈 나서고 있다.
정부관계자에 따르면 앞으로 24개 CCRA 인증국 어느 곳에서든 CC인증을 받으면 외산업체도 국산업체와 동등하게 얼마든지 공공시장 진출이 가능하다. ‘이제 외산업체라서 공공시장 진입이 어렵다는 말은 더 이상 국내에서 들을 수 없을 것’이라는 게 이 관계자의 설명이다. 다만 다수 외산 제품들이 무분별하게 공공시장에 쏟아져 들어올 것에 대비해 지난해부터 국내외 보안업체들에게 CC인증과 보안적합성 검증을 의무화했다. ‘보안적합성 검증’이라는 여과장치를 하나 더 만들어 기존 CC인증의 본래 의도인 사용자 보호책은 확실히 마련해놓겠다는 의지이다.
관계부처 IT보안인증사무국 관계자는 “보안적합성 검증은 보안제품을 도입하고자 하는 국가, 공공기관의 중요 기밀사항이나 자료를 취급하고 있는 국가정보통신망 보호에 적합한지 여부를 재차 확인 검증하기 위한 것”이라며 “보안적합성 검증 시 CC인증에 포함된 소스코드는 요구하지 않지만, 국가기관 소통자료의 암호화를 위한 암호기능에 대해 일부 소스코드는 요구할 수도 있다”고 전했다.
아직 이 제도가 외산업체에 대한 또 다른 장벽이 될 것으로 보는 의견은 없다. 국내 업체들로서는 오히려 CC인증 외에 보안적합성검증까지 받아야 하므로 공공사업을 위한 절차의 복잡성과 검증완료까지 추가 시간이 소요되는 점 등 부담이 한층 가중됐다는 반응이 더 많다. IT보안인증을 담당하고 있는 관계부처의 한 실무자는 “보안적합성검증 시에는 제품을 도입하고자 하는 기관의 요구사항 및 운영환경, 국가보안정책에 따른 해당제품의 대응수준 등에 따라 1~2개월이 소요된다”고 전했다. 더불어 CC평가, 인증기간이 분리돼 있지 않고 평가가 진행되는 동안 KISA와 결과를 수시로 주고받고 의견개시를 하고 있어 인증 때문에 CC 평가 인증 기간이 늘어나고 있는 것은 아니라고 강조했다.
급변하는 국제통용 CC인증... 질적 변화 요구
CC인증 제도가 바뀜에 따라 그 절차과정에서도 많은 변화가 일어나고 있다.
CC인증 및 보안적합성 검증의 의무화 외에도, CC인증과 관련된 두드러진 변화로 인증 평가 대상제품의 범위 확대, 평가 등급 고도화 및 수수료 증가, 민간 평가 기관 설립 등을 꼽을 수 있다.
이러한 변화 또한 국내보안업체들에게는 힘겨운 양상이 되고 있다. 그렇지 않아도 외산업체들의 공세에 대응할 뾰족한 대안 마련이 없는 터에 성급하게 변화무쌍해진 절차는 국산업체들에게 설상가상의 어려움을 안겨주고 있다는 것이다.
정부는 방화벽, 침입탐지 ⁃ 차단(IDS/IPS), 가상사설망(VPN), 지문인식시스템, 운영체계 보안시스템, 스마트카드 6개 제품군으로 제한됐던 기존 평가 인증 대상을 전 보안 제품으로 확대했다. 그동안 외산업체들이 공공기관을 공략하기 위해 일종의 편법으로 활용해왔던 바이러스 월도 인증대상에 편입될 전망이다.
IT보안인증사무국은 “바이러스월의 경우 수시로 패치 및 업그레이드가 필요해 CC인증 대상에서 제외됐으며 정기적인 제품의 사후 관리를 강화해 가고 있다. 시일은 좀 걸리겠지만 향후 바이러스 월 제품도 인증평가 대상에 추가될 것”이라고 전했다.
또한 CC인증 평가 등급의 고도화 및 평가 수수료 차등화도 곧 진행된다. 기존에 EAL4 등급까지만 인증서를 발급했는데, EAL5 등급이상의 평가인증을 현재 추진 중이며 평가 수수료도 기존에는 정보보호 육성차원에서 최소화해 평가 등급에 따라 1500~2500만원을 지불했는데 앞으로 제품의 복잡성에 따라 차등으로 부가한다는 방침이다. 같은 등급을 평가받더라도 제품 기능의 복잡성 및 평가 항목 수에 따라 지불해야 할 수수료가 달라지는 것.
평가 수수료 역시 체계화된다는 점에서 환영할만하지만, 수수료 증가는 영세한 국내 보안업체들에게 인증평가에 대한 부담을 가중시킬 수 있을 것으로 예상된다.
국내보안업체 육성책 및 지원 마련 절실
정부는 올해 평가 시 적체 현상을 해소하기 위해 국제표준(ISO17025)에 적합한 민간 평가 기관을 설립할 계획이다. 기존에 한국정보보호진흥원(KISA)이 단독으로 평가 업무를 진행해왔는데, 지난해에 KISA의 평가 인력을 보강(현재 30명)했음에도 불구하고 여전히 심각한 적체현상을 보이고 있다. 현재 KTL(한국산업기술시험원), 한국정보통신기술협회(TTA), 국내 대형SI 몇몇 업체들이 보안 평가기관으로 지정받기 위해 나섰으며, 이들 민간 평가기관이 설립되면 CCRA 가입이후 일고 있는 평가신청 수요 증가에 적극적으로 대응할 수 있을 것으로 기대되고 있다. 추후 원활한 평가 진행을 위해 2~3개까지 평가 기관을 확대한다는 계획이며, 시장 자율화와 평가 산업 육성 차원에서 민간 평가 기관의 평가수수료는 자율화할 방침이다.
정부 관계자는 “평가 역량의 차이가 있을 수 있으며, 민간평가기관으로 평가 요청이 집중될 수 있을 것”이라며 “향후 KISA는 주로 고등급(EAL5 이상) 위주의 인증 평가를, 민간기관은 기존 인증평가 위주로 수행하게 될 수 있을 것”이라고 전했다. 다소 고가의 수수료를 지불해서라도 빠른 기간 내 평가를 받기를 원한다면 KISA로, 시간이 좀 걸려도 저렴한 비용으로 평가를 받고자 한다면 민간 기관을 평가 기관으로 택하면 된다.
CCRA 가입으로 실제 국내 보안 업계에는 많은 변화들이 일어나고 있다. 보안적합성 검증이 국내 보안 업체들의 터전을 지켜내기 위한 제2의 CC인증 역할을 해야 한다는 은근한 기대도 없지 않다. 그러나 국산업체를 보호해줄 어떤 보호막도 더 이상 기대할 수 없다는 게 대세다. 모든 분야에서 언제나, 식상할 정도로 강조되는 ‘경쟁력 확보’만이 생존의 열쇠라는 현실이 보안업계에도 어김없이 드리워지고 있는 것이다. 국내 보안업체들이 새로운 변화를 딛고 세계시장을 누비는 실력있는 업체로 거듭나길 기대하며 정부의 실질적인 육성책 및 지원 마련을 바랄 뿐이다.
김정은 기자 jekim@rfidjournalkorea.com