보안 적합성 검증을 받지 않은 외산 정보보호 솔루션이 공공기관에 납품돼 물의를 일으키고 있다. 특히 공공기관의 성격상 국가 중요 기밀 유출 가능성까지 제기돼 대책 마련이 시급한 실정이다.
21일 관련업계에 따르면 일부 공공기관에서 국정원의 보안 적합성 검증을 거치지 않은 외산 보안 솔루션을 무분별하게 도입하고 있는 것으로 드러났다.
실제로 최근 K도청 전자정부통합망을 비롯해 주요 부처의 초고속 국가망과 내부망, 지방 시청 등 50개가 넘는 공공기관에 보안 적합성 검증을 거치지 않은 외산 보안 솔루션이 구축됐다.
국정원 측은 담당기관이 도입 절차를 제대로 숙지하지 않았고 보안 담당자의 숫자가 절대적으로 부족할 뿐만 아니라 잦은 보직 이동으로 전문성이 떨어지는 것이 이유라고 지적하고 대책 마련을 서두르고 있다.
국정원 관계자는 “국가 공공기관은 보안 솔루션을 설치할 때 반드시 국정원의 보안 적합성 검증을 통과한 제품을 설치해야 한다”며 “탑재된 암호 모듈이 있을 때는 우리나라의 암호검증제도(KCMV)를 통해 검증받은 모듈이어야 한다”고 말했다. 이 관계자는 또 “회선 서비스 등을 통해 부가적으로 보안 서비스가 공공기관에 제공될 때도 보안 적합성 검증은 필수”라고 덧붙였다.
국내 보안업체 고위 관계자는 “지난 5월 우리나라가 국제공통기준상호인정협정(CCRA)에 가입, 보안 시장이 전면 개방돼 이 같은 사례가 더욱 늘어나고 있다”며 “국가 기밀 보호를 위해서도 공공기관을 대상으로 한 국정원의 보안 적합성 검증 교육 및 홍보가 강화돼야 한다”고 말했다.
김인순기자@전자신문, insoon@
관련 통계자료 다운로드 공공기관 도입 미적합 보안 솔루션