[아이티데일리] 국가·공공기관에서 도입하는 네트워크 장비에 대한 안정성을 검증하는 ‘보안 기능 확인서’ 제도와 관련해 인증서 발급이 적체되고 있다는 문제가 제기됐다. 제도 시행 9개월이 지난 현재까지 발급된 ‘보안 기능 확인서’가 손에 꼽을 정도라는 것이다. 

제도 시행의 주체인 국가정보원과 국가보안기술연구소는 해당 문제를 인지하고, 개선에 나서고 있다. 그럼에도 관련 업계는 올해 공공사업 매출에 타격을 입을 것으로 보인다. 최대한 빨리 확인서를 발급받는다고 해도, 공공사업 수주에 차질이 있다는 입장이다.

‘보안 기능 확인서’ 제도는 ‘보안 적합성 검증’ 제도를 대체하기 위해 마련됐다. 공공기관은 네트워크 장비, SW기반 보안 USB, 가상화 관리 제품 등을 도입할 때, ‘보안 기능 확인서’를 발급받은 제품을 선택해 ‘보안 적합성 검증’을 생략할 수 있다.

기존 ‘보안 적합성 검증 제도’는 공공기관이 제품을 도입해 시스템을 구축한 뒤, 국가정보원 검증을 받는 절차로 진행된다. 검증 절차에 따라 발견된 보안 취약점을 제거한 후에 네트워크 장비를 운용해야 한다. 이러한 검증 절차를 간소화하기 위해 국가정보원은 보안 기능을 미리 검증하는 ‘보안 기능 확인서’ 제도를 마련했다.

하지만 ‘보안 기능 확인서’ 발급이 적체되면서 관련 사업에 차질이 생기고 있다. 제도 시행 초기에는 발급에 4개월 정도의 기간이 소요될 것으로 예상됐지만, 9개월 이상이 지난 지금까지도 확인서가 발급되지 않은 경우가 많기 때문이다. 이에 관련 기업들은 인증서를 발급 받지 못해 공공사업에 참여하지 못하고 있다고 호소하고 있다.

국산 네트워크 장비 및 가상화 관리 제품의 경우, 공공 시장 매출 비중이 높다. 하지만 적체 현상으로 인해 확인서 발급이 불투명하다 보니 공공사업을 진행하지 못할뿐더러, 관련된 부담이 제조사에게 전가되고 있는 상황이다. 공공기관에서는 국가정보원 보안 인증정책이 변경됨에 따라 ‘보안 기능 확인서’를 필수 조건으로 인식하고 있다.

인증서 발급에 적체가 생긴 이유는 ▲보안 기능 확인서 수요 급증 ▲명확한 기준의 부재 등으로 풀이된다. 지난해 9월 설명회 이후 시행까지 약 3개월 정도의 짧은 준비 기간과 인증 수요 급증으로 인해 적체 현상이 심화됐다는 것이다. 또한 국가보안기술연구소의 평가담당자 지정까지 기간 소요, 월 1회 평가 등으로 인해 대기시간이 길어졌다는 지적이다.

또한 명확한 기준이 없다는 점도 문제로 지적된다. CC인증의 경우 시험 절차 및 항목이 명확하게 공개돼 있고 평가기관을 통한 컨설팅 등이 마련돼 있어, 신청 기업 입장에서 어려움이 적다. 하지만 보안 기능 확인서의 경우 확인할 수 있는 정보가 적고 불명확해, 체감하는 난이도가 더욱 높다는 것이다.

업계 관계자는 “가이드라인이 없다보니 실제 담당자 평가에서 체감하는 시험 난이도가 높다. 예상하지 못한 항목에서 반려되는 상황도 생기는 등 시행착오를 많이 겪고 있다. 이에 업계에서는 평가기관인 국가보안기술연구소와 소통이 잘 되는 시험기관을 찾아 인증 절차를 진행하는 게 가장 빠른 방법으로 꼽히고 있다”고 토로했다. 이어 “공공기관에서도 선택할 수 있는 제품이 한정되고 있다는 어려움을 토로하고 있다”고 덧붙였다.

이러한 문제를 해결하기 위해서는 명확한 기준이 필요하다는 의견이다. 현재 적체 요인 중 하나가 제조사들이 보안 기능 확인서 제도에 대한 정보가 없어 준비에 난항을 겪고 있다는 점을 고려한다면, 명확한 기준 마련 및 홍보는 시급한 일이다. 또한 시험기관마다 인증 항목에 대한 안내에 차이가 있다는 점도 기준 마련이 필요하다는 점을 역설한다.

국가정보원과 국가보안기술연구소는 해당 문제를 인지하고, 해결을 위해 적극적으로 나서고 있다. 국가보안기술연구소는 한국네트워크산업협회를 통해 기업들과의 소통을 강화하고 있다.또한 심사 피드백도 이전보다 빠르게 진행하고 있으며, 평가 횟수도 월 2회로 늘려 인증 수요에 대응하고 있다.