「시큐리티라운드」가 국내 정보보호업계를 강타하고 있다. 침입차단시스템(방화벽), 침입탐지시스템(IDS) 등의 정보보호시스템 평가를 위한 국제기준인 CC(Common Criteria)가 이제 막 개화기를 맞은 국내 정보보호산업을 위축시킬 수 있는 「태풍의 눈」으로 작용하고 있다.
CC는 원래 각국의 서로 다른 평가기준 시행에 따른 시간 및 비용 낭비를 줄이기 위해 미국·캐나다·영국·독일·프랑스 등 선진국들이 중심이 돼 만든 국제공통평가기준인데, 올들어 이를 기반으로 한 상호인정협정인 CCRA(Common Criteria Recognition Arrangement)에 선진국들이 대거 가입해 사실상 세계 정보보안 시장을 주도할 세력으로 급부상하고 있다. CCRA에는 지난해까지 인증발행 권한을 가진 6개국을 포함해 13개 국가가 가입한 상태이고 올해안에 가입국가가 최소한 20여개국에 이를 것으로 보인다.
특히 세계무역기구(WTO)나 경제협력개발기구(OECD), 아시아태평양경제협의체(APEC) 등 국제기구에서 정보보호의 중요성을 인식, 관련제품의 평가·인증을 현행의 자율적인 방법이 아닌 강제된 형태로 개정할 움직임을 보여 또 다른 통상협상의 모습을 띤 시큐리티라운드로 연결될 가능성이 점점 커지고 있다는 게 업계의 중론이다.
이럴 경우 CC는 정보보호제품의 국가간 교역장벽을 낮추는 시장개방이나 수출시장 장벽으로 활용될 가능성이 커 자칫 국내 정보보호산업을 위협하는 요인으로 발전할 공산이 높다. 실제로 CC가 세계표준으로 자리잡을 경우 현재 국내 공공기관에 납품하는 제품의 기준역할을 해온 K4인증은 사실상 무력해져 내수시장을 지킬 만한 방벽은 없어지는 반면 미국과 유럽이 주도하는 해외시장에서는 CC규격의 취득이 수출시장 진입의 관건이 될 가능성이 크다는 게 전문가들의 지적이다.
이에 따라 우리 정부도 CCRA에 가입하기 위해 지난해말 국가정보원·정보통신부·한국정보보호센터(KISA) 등을 주축으로 한 태스크포스(TF)를 발족시키고 CC기반의 평가인증을 위한 제품별 세부요구사항 마련에 나서는 등 CC체제 대응을 위한 준비작업에 착수했다. 하지만 현재 국내 대응수준이 CC인증 발행권한이 아닌 수용수준의 가입으로 그치고 있어 장기적으로 시장주도권면에서 선진국에 밀릴 우려가 클 것으로 업계는 내다보고 있다.
업계의 전문가들은 『정부는 오는 2004년 CCRA 가입을 목표로 계획을 추진하고 있지만 2003년이면 시큐리티라운드가 이미 와 있을 상황일 수도 있다』며 『CC체제를 앞세운 선진국들의 시장공략에 맞설 수 있는 정부 차원의 대응체계 구축이 시급하다』고 지적했다.
<주문정기자 mjjoo@etnews.co.kr>