최근 전국 학교 및 교육청이 진행 중인 공공정보통신서비스(NIS) 사업에서 보안장비의 형상변경을 놓고 동종 업계 간 잡음이 일고 있다. 보안성을 평가하는 국제공통평가기준(CC)인증을 받은 제품의 성능 평가 기준이 인증 획득 후 바뀐 것을 놓고 CC 인증의 법적 효력 여부에 대한 논쟁이 벌어진 것이다.
26일 업계에 따르면 최근 CC인증을 보유한 업체가 코드 변경 등 보안 장비의 일부 형상을 변경한 후 NIS 입찰에 참여함에 따라 CC인증을 획득하지 못한 업체들이 참가 자격의 박탈을 주장하고 나섰다.
실제, 지난해 LG CNS의 침입방지시스템과 시큐아이닷컴의 방화벽·가상사설망(VPN) 통합제품 이 형상 변경한 제품을 공공 기관에 납품한 후 각각 2개월, 1개월 동안 불법 CC인증 제품으로 낙인 찍혔다.
보안장비 업체 관계자는 “공공 기관 프로젝트 입찰 과정에서 CC 인증 보안 장비의 형상을 변경한 후 추가 인증을 받지 않은 채 공공 기관에 공급하는 행위는 현행 규정을 위반한 것”이라고 말했다.
하지만 CC인증 제품의 형상변경 시 평가기관의 인증 효력을 유지하려면 변경승인을 얻거나 재평가를 통해 인증 효력을 유지하는 것이 원칙이지만 현실적으로 힘들다는 입장이다. 변경승인을 받는 동안 프로젝트가 종료되거나 인증을 받은 이후에는 해당 제품이 시장의 빠른 기술 변화를 반영하지 못하는 사례가 비일비재하기 때문이다.
CC인증에 걸리는 시간도 문제다. CC인증을 받는데 많게는 1년 적게는 수개월이 소요되는 동안 고객의 요구와 시장의 트렌드가 변화, 불가피하게 형상변경한 제품을 공급할 수밖에 없다는 해명이다.
보안 업계의 한 전문가는 “간단한 형상변경에 대해서 매번 승인을 받기에는 회사의 부담이 크며 제품 트렌드에도 뒤처지기 쉽다”며 “정부가 CC인증 제품의 형상변경에 대해서 일정 수준의 허용치를 가이드라인으로 만들 필요가 있다고 말했다.
장윤정·조정형 기자 linda@etnews.co.kr