국가정보원이 정보보호 시스템 평가인증 제도를 대대적으로 개선했으나, 공공기관 납품 절차를 아직 정하지 않는 등 후속조치 미흡으로 업계가 혼란에 빠졌다.
이러한 상황에서 제도에 대한 정보마저 제대로 전달되지 않아 ‘보안적합성 검증이 없어진다’는 헛소문까지 나돌 만큼 혼란이 가중되고 있다. 새로운 평가인증 제도가 자리잡기 위해서는 국정원이 시급히 후속조치를 마련하고 정보를 상세히 전달해야 한다는 지적이다.
16일 관련업계에 따르면, 국정원이 국제공통평가기준(CC) 인증만 있으면 공공기관에 보안 제품을 납품할 수 있도록 했지만 정작 공공기관 공급 절차는 아직 마련하지 않았다. 이 때문에 CC 인증만 받고 공공기관에 제품을 공급할 수 있는 길은 사실상 없는 상태다.
예전에는 CC 인증->보안적합성 검증->행정안전부 행정정보보호용시스템 등록->조달청과 가격협상->나라장터 등록->공공기관 공급의 수순을 밟아야 했다. 제도 개선으로 보안적합성 검증을 공공기관에 공급한 후에 받을 수 있도록 해 절차를 간소화했지만 순서가 뒤죽박죽 되면서 공공기관에 공급하기 위해 거쳐야 하는 조달청 등록 기준은 없어진 셈이다. 어떤 절차를 거쳐 조달청에 등록될 수 있는지는 향후 국정원·행정안전부·조달청이 협의를 통해 결정할 계획이어서, 그전까지 공급 방법을 알 수 없는 기업들에게 혼란은 불가피할 것으로 보인다.
또한, 이번에 평가 수행 중 탈락이라는 새로운 규정이 만들어지면서 이미 계약을 체결하고 평가를 받고 있는 기업들은 기준도 모른 채 계약서를 수정하기도 했다. 새 제도 시행에 따라 인증에서 중도 탈락할 수 있게 됐지만 탈락 기준은 8월께 만들겠다고 발표한 바 있다.
여기에 보안적합성 검증에 대한 정보가 충분하지 못해 업계에서는 이에 대한 갖가지 추측까지 나돌고 있는 상황이다. 개편으로 인한 혼란 때문에 공공기관 발주량이 줄어들 것이라는 우려부터 시작해 보안적합성 검증 자체가 없어질 것이라는 소문까지 떠돌기 시작했다.
먼저 도입하고 나중에 검증을 받아야 한다면 공공기관이 일일이 보안적합성 검증을 받아야 하는데, 이러한 불편함이 시장 축소라는 역방향으로 흐를 수 있다는 것이다. 이는 보안적합성 검증이 종국에는 유명무실해질 것이라는 추측에까지 이르렀다. 그러나, 국정원은 이러한 소문에 대해서는 ‘보안적합성 검증은 반드시 필요한 것’이라고 못박았다.
문보경기자 okmun@