침입차단시스템·침입방지시스템 등 24종 정보보호시스템은 필수적으로 국내용 공통평가기준(CC) 인증을 받아야 한다. CC 필수인증 제품군에 대해서는 보안적합성 검증이 면제된다.

국가·공공기관이 이 외 제품을 도입하려면 국정원의 보안적합성 검증을 신청할 수 있다. 해당 시스템이 안전한지 평가하기 위해서다.

이를 시험성적서로 대체하겠다는 것이다. 대상은 네트워크 장비와 정보보호 제품이다. 국정원은 기존 제도를 완화시킨 시험성적서 제도를 통해 국가·공공기관이 보안적합성 검증보다 더 자율적으로 제품을 선택할 수 있고, CC평가와 비교해 시험기간·비용을 줄일 수 있을 것이라고 내다봤다.

하지만, 일각에서는 오히려 기업 부담이 늘어날 수 있다는 주장을 내놓고 있다. CC평가와 비교했을 때 시험성적서는 기간 및 비용 측면에서 유리한 것이 사실이다. 그러나 시험성적서는 CC평가를 대체하는 제도가 아니다.

시험성적서가 대체한 보안적합성 검증의 경우, 도입기관에서 진행하기 때문에 기업 입장에서 비용 부담은 다소 덜했다. 하지만, 시험성적서는 기업이 진행해야 하는 만큼 불필요한 비용이 추가될 수 있고, 기존에 보안적합성 검증조차 필요하지 않았던 제품까지 시험성적서를 요구할 가능성도 제기된다.

보안업계 관계자는 “국가·공공기관이 입찰제안요청서(RFP)를 통해 시험성적서를 의무적으로 받도록 명시할 수 있다”며 “도입 기관이 시험성적서를 무조건 요구하면 기업은 따를 수밖에 없고, 불필요한 검증까지 하게 돼 비용 부담을 느낄 수 있다”고 말했다.

이어 “보안적합성 검증은 도입기관이 스스로 진행하기 때문에 기업 입장에서는 기술 지원 정도만 추진했었다”며 “시험성적서의 경우, 어떤 제품을 기관에서 요구할지 모르기 때문에 모든 제품에 대해 시험성적서를 받기 위한 선투자를 해야 하며, 이는 비용 증가로 이어질 수 있다”고 덧붙였다.

기존 규제를 완화하기 위해 마련된 제도가 강제사항으로 작용할 수 있다는 지적이다. 아직, 시험성적서 사례가 없기 때문에 정확한 비용 산출은 어려운 상황이지만, 평가 기관을 통해 진행하는 만큼 일정 비용을 부담해야 한다.

또, 발급된 시험성적서 유효기간은 1년에 불과하기 때문에 매년 기업이 지불해야 하는 비용이 발생하게 된다. 다만, 동일 버전의 경우 1회 재발급이 가능하다.

반면, 이번 제도가 기업들의 공공시장 진출 관련 애로사항을 일정 부분 해결할 수 있다는 의견도 있다.

보안업계 관계자는 “사물인터넷(IoT) 등 새로운 제품에 대해 한 쪽에서는 CC 인증을 받으라 하고, 다른 한 쪽에서는 대상이 아니라고 하며 계속 핑퐁게임을 하는 경우가 있었다”며 “이제 시험성적서로 이런 불필요한 과정을 줄일 수 있게 됐고, 이를 활용해 검증받은 제품이라는 마케팅도 펼칠 수 있다”고 설명했다.

한편, 국정원은 시험성적서 발급제도를 오는 2018년 12월말까지 운영한 후 정책 유지 및 변경 여부 등을 정할 예정이다.

<최민지 기자>cmj@ddaily.co.kr