국가정보원이 오는 10월로 예고한 ‘네트워크 장비 보안적합성 검증’ 시행을 앞두고 외국 업체들의 불만이 고조되고 있다. 하나의 진입장벽이 되기 때문이다. 하지만 10여개 업체가 이미 검증을 추진하면서 제도 시행 이후 공공기관 장비 수주사업이 검증 여부에 따라 좌우될 공산도 높아졌다.
반면에 국정원이 사업 추진과 관련한 가이드라인을 명확히 제시하지 않아 업계 혼란이 가중되는 우려도 제기되고 있다.
7일 네트워크 업계에 따르면 지난해 말 설명회에 참석했던 10여개 업체를 중심으로 자체 보안적합성 검증 작업이 한창이다. 국가보안기술연구원은 해당 업체에 보안 테스트 항목을 주고 이달까지 자체 검증을 하도록 요청했다. 업체는 검증에 사용한 장비, 소프트웨어와 함께 검증 결과를 제출해야 한다.
검증 결과를 기반으로 새로운 심사 기준을 마련하고 업계는 본 검증에 대비토록 하려는 포석이다. 6월에 업체 설명회를 열어 의견을 수렴하고 9월께 검증을 위한 세부 사항을 확정할 방침이다. 앞서 국정원은 2014년 네트워크장비 보안적합성 검증과 2016년 국제공통평가기준(CC) 인증 도입 계획을 밝힌 바 있다.
논란이 되는 부분은 크게 세 부분이다. 우선 제도가 얼마나 빨리 정착돼 실효성을 거두느냐는 부분이다. 현재 보안 솔루션에 적용되는 보안성검증과 CC인증이 네트워크장비 분야에서는 처음 도입된다. 세부적 지침 마련 과정과 제도 시행 초기에 적잖은 혼란과 논쟁이 예상된다.
실제로 현재 업체 자체적으로 진행 중인 보안적합성 검사에서도 일부 문의에 대해 상세하고 명쾌한 지침이 없다는 불만이 나온다. 다른 부처와 기관에서 어느 정도 협조를 해주느냐도 제도 조기 정착의 관건이다.
외국 업체의 불만이 두 번째 논란이다. 시스코를 비롯해 대형 글로벌 업체가 자발적으로 보안적합성 검증에 참여한 이유는 아직까지 소스코드 공개 계획이 없기 때문이다. 반면에 2016년 시행될 CC인증은 소스코드를 공개해야 돼 외산 업체엔 큰 부담이다.
한 글로벌 네트워크업체 관계자는 “보안적합성 검증과 CC인증은 궁극적으로 공공 분야에서 국산 제품 도입을 늘리자는 게 목적”이라며 “현재는 한 가지 장비를 시험 중이지만 곧 전 제품으로 대상이 확대되고 금융과 통신쪽으로 적용 범위가 늘어날 것”이라고 우려를 표했다.
이어 글로벌을 대상으로 제품을 만들기 때문에 국정원의 장비 운영과 보안 요구사항에 부합하지 않는 부분이 많다고 털어놨다. 그는 당장 10월까지 부족한 기능을 채워 넣을 수 있을지 장담할 수 없다고 말했다. 다른 글로벌 업체도 마찬가지 문제로 고민에 빠졌다는 설명이다.
많은 국내 업체가 보안적합성 검증 도입을 반기는 반면에 일부에선 부정적 시각이 존재하는 게 세 번째 논란이다. 스위치의 경우 L3급 이상 제품이 검증 대상이기 때문에 소규모 국산 업체엔 도움이 되지 않는다는 설명이다. 보안적합성 검증에는 소스코드 공개가 없어 글로벌 업체와 차별성을 두기도 어렵다는 주장이다.
한 국내 네트워크업체 관계자는 “현재로선 어느 업체나 검증을 받을 수 있는 상황이라 국산과 외산 제품 간 큰 경계는 없다”며 “실제로 국내 업체에 얼마만큼 도움이 될지는 연말이 돼봐야 알 수 있을 것”이라고 말했다.
안호천기자 hcan@etnews.com
