이종현 칼럼

[취재수첩] 정보보호제품 보안인증제도 개선, 산업계 숙원 이뤄지나?

이종현
[디지털데일리 이종현기자] 과학기술정보통신부(이하 과기정통부)가 국가정보원(이하 국정원) 등 관계부처와 함께 정보보호제품 보안인증제도를 손보겠다고 나섰다. 기존의 엄격한 보안 적합성 검증 제도에 패스트트랙 제도를 추가, 신기술의 이용을 확산하겠다는 취지다.

공공기관에 정보보호제품을 공급하려면 보안 적합성 검증 제도를 통과해야만 한다. 공통평가기준(CC)인증이 대표적이다. CC인증은 발급을 받는 조건이 까다로워 보다 조건을 완화한 보안기능 확인서 등 제도를 추가했다.

다만 두 제도 모두 새로운 유형의 제품은 평가기준 자체가 없어 도입할래야 할 수가 없다는 점이 문제로 지적돼 왔다. 제로 트러스트(Zero Trust) 등 새로운 보안 패러다임이 등장한 이후 기업들은 트렌드에 맞는 새로운 기술을 개발했더라도 공공기관에 납품할 수 없고, 10~20년 전 기술이 여전히 잘 팔리는 아이러니한 상황이다.

과기정통부가 새롭게 공개한 정보보호제품 신속확인제는 이런 문제를 개선하는 데 초점을 맞춘 것으로 보인다. 평가기준이 없는 신기술이나 융·복합 제품일지라도 취약점 점검이나 소스코드 보안약점 진단을 거치면 공공기관에 납품할 수 있도록 하겠다는 내용이다.

이는 지난 6월 국정원이 인증 사각지대에 놓여 있던 클라우드 기반 정보보호제품 등에 대한 검증 절차를 마련하겠다는 것과 일맥상통한다. 갑작스레 등장한 것은 아니고, 수년간 논의가 이뤄진 결실이 이제야 이뤄지는 셈이다.

갈등 요소도 있다. 그간 공공 정보보호 시장은 국내 기업의 전유물처럼 여겨졌다. 지난 6월 기준 보안 적합성 검증을 받은 정보보호제품 중 해외 기업 제품은 전무하다. 국정원은 총 6개 제품이 보안기능 확인서를 발급받았다고 안내했으나 이들 모두 유효기간이 만료된 상태다.

글로벌 보안기업 관계자들은 보안 적합성 검증 제도가 글로벌 기업들이 통과할 수 없는 기준을 요구하고 있다고 하소연한다. 신속확인제도에서는 이 부분에 대한 개선도 이뤄질 것으로 예상되는데, 국내 기업으로서는 독점하고 있던 시장에서 해외 기업들과 경쟁하는 상황에 놓일 수 있다.

어떤 방식으로 변화가 있을지, 앞서 예단하기는 어렵다. 신속확인제에서 요구하는 사항이 무엇인지, 정말로 폭넓은 제품을 대상으로 심사가 이뤄질 수 있는지, 심사 비용이나 시간은 적당한지 등은 제도가 시행돼봐야 안다. 다만 오랜 기간 고여 있던 규제가 개선되는 것은 반길 만한 일이다. 보다 합리적인, 납득할 수 있는 방향으로의 제도 개선이 이뤄지길 기대한다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널