내달 공공 보안시장 문턱 낮아진다 …마중물 되나

등록 2022.10.26 06:05:00수정 2022.10.26 09:19:05

국가정보원 다음달 1일 보안적합성검증제 개편

보안검증요건, 중요도에 따라 가·나·다 세 그룹으로 나눠 적용

국방부 등 국민 안전과 밀접한 기관은 기존 검증 정책 유지

초중고교·지자체 등은 저등급에 포함돼 혁신 서비스 도입 가능

보안업계 “새로운 유형의 융합제품·혁신 보안 서비스 등 확대 발판될 것”

일부는 낮아진 공공 문턱에 외산 업체 진출로 “국내 기업 입지 좁아질 것” 우려

[서울=뉴시스] 공공기관에 도입하는 정보보호 제품을 검증하는 보안적합성검증제도 개편안 시행이 내달 1일 시행된다. 사진은 KT 직원들이 지난 8월 국가정보원 보안적합성 검증제도 통과한 가상 데스크톱 인프라(VDI) 솔루션화면을 바라보는 모습. (사진=KT 제공)

[서울=뉴시스]송종호 기자 = 다음달부터 국가공공기관 정보보호 제품을 공급할 때 국가정보원으로부터 받아야 했던 보안적합성 검증절차가 대폭 완화된다. 국내 보안 업계는 공공 시장이 확대될 것으로 기대한다. 그동안 공공시장 진출이 힘들었던 보안 스타트업들에겐 호기가 될 전망이다. 그동안 새로운 형태의 혁신 보안제품이나 서비스의 경우 보안적합성 검증을 신청할 수가 없어 발만 동동 굴러야 했다. 일각에선 공공 보안시장 문턱이 낮아지며 외국계 보안기업들에게 공공시장을 내줄 수 있다는 우려도 내놓고 있다.

내달부터 보안적합성 검증절차 완화된다

국가정보원은 다음달 1일부터 국가공공기관에 정보보호 제품을 납품할 때 필요한 보안 적합성 검증절차를 국가공공기관의 성격에 따라 3단계로 대상기관을 나눠 서로 다른 기준을 적용하기로 했다. 보안적합성 검증은 국가·공공기관이 도입하는 방화벽·네트워크 장비 등 정보기술(IT) 보안제품의 안정성을 검증하는 제도를 말한다.

국민 안전과 밀접하고 국가 중요시설을 관리하는 기관은 기존처럼 까다로운 검증절차를 적용하되, 그렇지 않은 기관들은 기준을 완화해 국가기관들이 보다 다양한 혁신 보안제품들을 쓸 수 있도록 하겠다는 취지다.

우선 ▲중앙행정기관 ▲주요 기반 시설 관리기관 ▲국방부 소속·산하기관 ▲방사청·경찰청 등은 '가'그룹(전체의 5%)으로, 기존 검증정책이 그대로 적용된다. ▲중앙행정기관 산하기관 ▲기타 공공기관 ▲각급 대학교 등은 '나'그룹(전체 38%)으로, ▲보안기능확인서 ▲국내·외 공통평가기준(CC)인증서 ▲성능평가결과확인서 ▲신속확인서 가운데 하나를 갖춘 제품을 도입할 경우 보안적합성 검증을 생략할 수 있다. ▲중앙행정기관 산하 위원회 ▲기초자치단체·산하기관 ▲초·중·고 등 각급학교 등 나머지 57%에 해당하는 '다'그룹은 자체 판단에 따라 사전인증요건을 자율 지정할 수 있다.

가령 초등학교에서 보안제품을 도입할 경우 국정원과 사전 협의 없이 자율적으로 보안적합성 검증 없이도 도입제품을 선택할 수 있다. 만약 보안기능 검증이 필요한 경우에는 직접 국정원에 보안적합성 검증을 신청하면 된다. 이전에는 중앙행정기관을 거쳐 국정원의 검증을 받는 식으로 이뤄졌다.

국정원은 이번 개편한 시행 배경에 대해 “그동안 국가·공공기관 마다 중요도가 다름에도 국방부·방위사업청 등 중앙부처부터 일선 초등학교까지 똑같은 보안검증 정책이 적용돼 비효율적이라는 지적과 함께 제도개선의 필요성이 제기돼 왔다”라고 설명했다. 이어 “이번 개편안이 보안환경 변화를 적극적으로 수용하고 규제 해소를 목적으로 한 만큼 업체·기관들의 불편함과 부담감이 줄어들기를 기대한다”라고 밝혔다.

보안시장 '마중물' 되나…'외산제품 밥그릇 내준다' 우려도

보안 업계에서는 이번 개편안을 두고 환영의 목소리가 크다. 그동안 저등급에서는 보안적합성검증 절차를 밟을 수 없었던 새로운 유형의 융합제품이나 혁신 보안 서비스 등을 공급할 수 있는 길이 열릴 것으로 보기 때문이다.

그동안 보안적합성검증으로 인해 공공시장에는 네트워크 방화벽, 백신 등 규격화된 제품만 공급하거나 적용할 수 있었다. 또 기존 CC인증 등을 받은 제품이라도 업데이트 적용을 위해서는 변경 승인이나 재평가를 받아야하는 번거로움이 있었다.

보안 업계는 이번 개편안이 공공시장에서 혁신 보안 기업과 그 서비스에 대한 마중물 역할을 할 것으로 기대한다. 업계 관계자는 “민감한 정보를 다루는 기관에는 기존 검증을 유지하고, 상대적으로 중요도가 낮은 기관은 자유롭게 혁신 서비스를 이용토록하는 취지에 공감한다”라며 “공공시장에서 혁신 보안 기술이 확대되는 데 도움이 될 것”이라고 내다봤다.

다만 일각에서는 우려의 목소리도 나온다. 개편안으로 공공시장의 문턱이 낮아지면서 외산 업체의 진출도 그만큼 수월해졌기 때문이다.

한 보안업계 관계자는 “보안 주권이 중요해지는 시기에 공공시장 진입 문턱을 낮추는 것은 외산 업체에 시장을 내주는 것과 마찬가지”라며 “자본과 조직력에서 앞서는 외산 업체들이 공공시장에 대거 진입하면 국내 기업의 입지는 좁아질 것”이라고 우려했다.

◎공감언론 뉴시스 [email protected]