내년 1월 1일부터 정보보호 제품에 관한 K시리즈 인증이 국제공통평가기준(CC)으로 일원화되지만 국가기관에 설치되는 모든 정보보호 제품은 보안성 검토를 받아야 한다.
이에 따라 국제공통평가기준상호인정협정(CCRA)가입으로 보안시장 전면 개방을 우려했던 국내업계에 일종의 ‘세이프가드(safeguard)’가 생기게 됐다. 하지만 CCRA 가입으로 보안시장 개방을 기대했던 외산 업체들은 보안성 검토 제도로 K시리즈 인증이 없어지는 효과가 반감됐다며 강력히 반발하고 있어 논란이 예상된다.
그동안 K시리즈 평가로 국내 정보보호 시장을 보호해 온 국가정보원은 내년부터 CC에 의한 평가를 진행하더라도 국가기관에 들어가는 정보보호 전 제품에 관해 보안성 검토를 확대할 방침이라고 29일 밝혔다.
보안성 검토는 보안제품을 설치하려는 국가기관이 국정원에 보안성 검토를 의뢰하면 국정원은 보안 제품에 들어가는 암호모듈을 시험하고 검증 지침 등을 검토한 후 국가기관에 사용을 인정하게 된다. 기업들이 보안성 검토에 통과하려면 SEED 등 국정원이 검증한 암호모듈을 제품을 탑재하거나 관련 기준을 준수해야 한다. 국정원은 최소 6개월 이상 걸리는 K시리즈 평가와 달리 제품에 대한 서면 평가 보고서를 제출하는 수준에서 단기간에 진행하는 방향으로 제도를 추진중이다.
국정원 관계자는 “CCRA에 가입 신청을 하면서 국내 정보보호 업체들이 시장 개방에 대한 많은 부담감이 있다”며 “CC기준에 의한 인증제품이 국가기관에 활용될 때에는 국산제품이던 외산 제품이던 보안 강도 등에 대한 적합성 검토를 할 것”이라고 말했다. 그는 또 “외산기업들이 보안성 검토에 통과하려면 국내 암호 모듈을 탑재하거나 관련 기준을 준수해야 해 보안성 검토를 받기가 쉽지 않을 것”이라며 “CCRA 가입국들도 자체 국가기관에 들어가는 보안 제품에 한해 비슷한 제도를 시행하고 있으며 국가 정보를 지키기 위해 필요로 하는 것에 대해 CCRA 회원국들도 예외 조항을 두고 있다”고 설명했다.
국정원의 이같은 방침에 대해 특히 외산 보안제품 공급업체들은 이중 ‘옥상옥’과 같은 제도라며 반발하고 있다. 국정원의 보안성 검토가 과거 K4 인증처럼 소스 공개 과정은 없지만 본사를 설득해 보안성 검토를 받기가 쉽지 않을 것이란 주장이다.
이에 대해 외국 보안 업계의 지사장은 “이런 조치는 결국 K시리즈 인증과 별반 다를 것이 없다”며 “국내 시장을 보호한다는 명목으로 또다시 관련 기업들의 경쟁력을 약화시키는 결과를 낳을 것”이라고 말했다.
김인순기자@전자신문, insoon@