앞으로는 보안적합성 검증을 받지 않아도 국제공통평가기준(CC)인증만 받으면 공공기관에 보안제품을 납품할 수 있는 길이 열리게 됐다. 또 국내 영업만을 위한 인증서는 계약 이후 8개월 이내에 받게 된다.
국정원은 2일 정보보호시스템평가인증제도 개선 설명회를 열고 이 같은 내용을 포함해 보안제품 공공기관 납품제도를 ‘선도입 후검증’ 체계로 변경한다는 개선 내용을 발표했다. 국정원은 특히 CC인증 적체 해소를 위해서는 국내용 CC인증 평가기간을 6개월에서 3.5개월로 단축하고 제출 서류를 대폭 간소화해 계약부터 인증서를 받기까지 기간을 13개월에서 8개월로 줄이기로 했다.
그동안 공공기관에 보안 제품을 공급하기 위해서는 CC인증과 보안적합성 검증을 받아야 했다. CC인증을 받기 위해서는 평가기간과 인증기간을 모두 합쳐 최소 1년의 시간이 걸리는데다 보안적합성 검증도 4개월가량 소요되기 때문에 공공기관에 한번 납품하려면 2년 가까운 기간을 기다려야 한다는 점에서 민원의 대상이었다.
국정원은 또 총 88개 점검항목을 48개로, 점검 일정을 5일에서 2일로 단축했으며 평가기관 기록물을 8종에서 4종으로, 3000페이지에서 900페이지로 간소화했다. CC인증 평가기간을 3.5개월로 줄인 것이다. 이와 함께 정보보호 업체가 구비해야 할 서류도 17건에서 11건으로 줄였다.
◆뉴스의 눈
평가인증제도가 ‘선검증 후도입’에서 ‘선도입 후검증’으로 변경됨에 따라 공공부문 보안 시장은 사실상 완전 경쟁체제에 돌입했다.
보안적합성 검증을 받기 힘들었던 일부 기업에 장벽이 없어졌기 때문이다. 특히 본사의 검증 허락을 받아야 하는 외국계 기업은 보이지 않는 장벽까지 없어짐으로써 외국 기업의 공공기관 진출이 봇물을 이룰 것으로 보인다.
이로 인해 공공 시장을 놓고 기업간 경쟁은 더욱 치열해질 전망이다. 발주자인 공공기관 또한 시장경제 논리에 따르게 됐다. 선택의 자유를 누릴 수 있게 됐으나 이에 따르는 책임은 온전히 발주자가 져야 하기 때문이다.
국정원 IT 인증사무국은 보안적합성을 검증해 수준이 낮은 제품은 불합격시키거나 부족한 점을 보완하도록 해 공공기관에 공급되는 보안 제품을 일정 수준으로 유지해 왔다. 하지만 이제는 발주자가 제품 도입과 함께 검증을 신청하도록 함으로써 국정원은 제품의 보안 수준이 어느 정도인지만을 평가해서 통보하는 방식으로 변경됐다. 발주자가 권한과 책임을 동시에 맡게 된 것이다.
국정원 관계자는 “보안적합성 검증을 받아야만 공공기관에 공급할 수 있었던 제도를 공공기관 공급과 함께 검증을 신청하는 제도로 바꿨다”며 “검증필제품목록도 폐지함으로써 기업이든 공공기관이든 자유와 책임이 더욱 강해진 것”이라고 설명했다.
문보경기자 okmun@