한 지방교육청이 도입을 검토 중인 보안 제품이 국제공통기준(CC)인증 제품인지 아닌지 논란이 일고 있는 가운데, 평가를 내려야할 교육청과 국정원이 서로 책임을 떠넘기는 형상이 빚어지고 있다. 이에 대해 업계는 CC인증 제도의 철저한 적용을 위해서는 두 기관이 명확한 해석을 내놓고 각 해석에 대한 책임을 져야 한다고 지적했다.
10일 관련업계에 따르면, 경상북도교육청은 총 32억 여원을 투입해 올 해 안에 정보보호시스템(CERT)을 구축할 예정으로, 우선협상대상자로 지정하고 도입을 검토 중인 보안 제품 중 침입방지시스템(IPS)가 CC인증을 받은 제품인지 아닌지 분명하지 않아 논란이 되고 있다.
제안서에 명시된 제품은 하드웨어 일체형이었던 데 비해, 도입을 검토 중인 보안 업체가 CC인증을 받은 것은 소프트웨어(SW)여서 이 SW를 포함한 하드웨어를 CC인증 제품으로 판단해야 하는지 혼란이 일고 있기 때문이다. 이러한 논란은 발주 당시부터 우선협상대상자를 선정한 최근까지 지속돼 왔으며, 이 때문에 경상북도교육청은 국정원에 해당 제품이 CC인증 제품이 맞는지 아닌지 판단을 요청했다.
경상북도 교육청 관계자는 “지난 주 국정원에 공문을 보내 해당 IPS 제품을 CC인증으로 볼 것인지 문의했다”며 “국정원에서는 맞다라고 통보를 보내왔기 때문에 국정원의 판단에 따라 안심하고 사용할 것”이라고 말했다.
이에 대해 국정원은 “보안적합성 검증 제도가 개편됨에 따라 제품을 도입하는 것은 공공기관 자율에 맡겼다”며 “추후 보안적합성 검증을 신청하면 그 때 판단해 줄 것”이라고 말하면서 도입 책임은 교육청에 있다고 강조했다.
그러나 이러한 공식적인 답변에 앞서 국정원은 공문을 접수 받으면서 CC인증 제품인지 아닌지 여부는 쉽게 판단할 수 있어 다음 날 곧바로 판단결과를 통보할 것이라고 밝힌 바 있다.
업계는 교육청과 국정원이 자체 판단은 미룬 채 서로 책임을 떠 넘기고 있는 것이라고 비난했다. 교육청은 국정원의 결정에 따라 도입했다고 판단 책임을 국정원에 넘기고 있으며, 국정원은 판단을 기관에서 해야 하는 것이라고 공을 다시 넘겼다.
이번 사업 입찰에 참여했던 한 사업자는 “교육청은 제안요청서에는 하드웨어 일체형의 기가급 제품이라고 명확하게 제시해 놓고 당초 규격과 달리 제품을 검토하고 있다는 점이 문제”라며 “여기에 국정원은 보안적합성 검증과 별도로 CC인증을 받은 제품인지 아닌지 여부를 평가해 달라는 것 마저 책임지려 하지 않고 있다”고 지적했다.
문보경기자 okmun@