국내 업체 비해 보안 적합성 검증 ‧ 국내 CC 받기 힘든 이유 밝혀

최근 외산 보안제품(티핑포인트 IPS)이 보안적합성 검증필을 획득함에 따라 이제 외산 업체도 그동안 국내 보안업체들의 텃밭이었던 공공 시장에 진입할 수 있게 됐다. 또한 이를 계기로 보안적합성 검증 심사를 받고자 하는 외산보안 업체들이 크게 늘어날 것으로 업계는 예상했다. 그러나 정작 외산 업체들은 여전히 보안 적합성 검증은 물론 국내 CC인증도 받기가 쉽지 않다며 불만을 토로하고 있다.

외연적으로 외산업체가 인증을 받는데 문제가 없는 것으로 보이지만, 실상은 인증 절차 곳곳에 진입장벽이 펼쳐져 있다는 게 외산업체들의 주장이다. 그 대표적인 예로 업체들은 보안적합성 검증 심사를 받기위한 신청을 공급업체는 할 수 없고 도입하고자 하는 발주기관이 직접 해야 한다는 규정을 들고 있다.

국가정보원 IT보안인증사무국은 "보안적합성 검증은 IT보안제품을 도입하려는 발주기관이 도입예정 제품의 국가기관 정보통신망 환경(ex. 신청기관 운용 환경)에 대한 적합여부를 신청하는 제도"라며 "업체가 직접 적합성 검증을 요청할 경우 특정 제품 또는 업체가 가정한 정보통신망 환경이 국가기관의 표준 환경으로 오인되는 결과를 가져올 수 있기 때문에 적합성 검증을 국가기관으로 하여금 신청케 하고 있다"고 말했다.

이에 대해 외산 보안 업체들은 "그렇다면 공공기관마다 제품 도입 시 각각의 보안 적합성 검증을 받아야 하는 게 아니냐?"며 "현재 보안 적합성 검증필을 획득한 제품은 모든 공공기관에 두루 통용되고 있는데 이 또한 국가기관 정보통신망 환경을 표준화시킨 꼴 아니냐"고 반박했다.

이런 실정 때문에 외산 업체들은 국내 업체들과 달리 자사 보안 장비의 심사를 위해 발 벗고 나서줄 공공기관을 찾는데 더 어려움을 겪고 있는 것으로 알려진다. 한 외산보안 업체의 경우 "A공공기관에서 보안 담당자는 심사 신청을 하기로 승낙을 했으나 팀장이 특정외산 제품을 옹호하는 것 아니냐며 제지해 결국 심사를 받지 못했다"고 말했다.

제품 공급업체가 아닌 발주공공기관이 직접 심사 신청을 하도록 하는 것은, 결국 외산업체에게는 또다른 공공시장 진입장벽이라는 게 이들의 주장이다.

외산업체 국내CC인증 비용, 국내 업체보다 '4배 비싸'
국제 CC인증 적체 현상을 해소하기 위해 등장한 국내CC인증 제도에 대해서도 외산업체들의 불만은 높다.국내 인증을 받기 위한 비용이 국산 업체들의 경우 60%의 중소기업 할인 혜택을 받아 1500만원(국내 전 보안 업체 해당)을 내면 되지만, 모든 외산 업체들은 6000만원을 내야 하기 때문이다.

국정원 IT보안인증사무국은 "중소기업법 및 관계법령에 의거해 중소기업에 해당되는 업체는 할인 혜택을 받을 수 있으나 외산업체는 해당되지 않는다"고 밝혔다. 외산업체들은 "이 역시 국내 업체들에게 외산업체 보다 쉽게 인증을 받게 하기 위한 일종의 차별책 아니냐"며 발끈했다.

현재 다수의 외산업체들은 국내 CC인증과 보안 적합성 검증 심사를 받기 위해 나서야 할지를 놓고 고민에 빠져 있다. 실제 보안적합성 검증 심사를 받고 있는 제품은 EAL4 CC인증을 획득한 워치가드의 UTM(통합네트워크보안) 장비와 EAL3 CC인증을 획득한 아크사이트의 ESM 모듈뿐이다.

국정원 관계자는 "앞으로 외산제품의 적합성 검증신청은 더욱 늘어날 것으로 예상되며, 해외CC 인증 제품의 특성상, 일괄평가를 받은 제품이 많은 점을 미루어 볼 때 모듈 형태의 외산 제품이 많이 심사 신청을 할 것"이라고 말했다.

하지만 CC인증 및 보안적합성 심사 신청 과정에 있어 여전히 국산 업체의 편의를 봐주고 있다는 외산업체의 인식부터 불식시키지 않고서는 외산업체들의 심사 신청 등 국내 사업을 위한 적극적인 참여를 이끌어내기는 쉽지 않을 것으로 보인다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지