전자신문은 지난달 금융권 망분리 국제공통평가기준(CC) 인증 적용이 혼란에 빠졌다는 내용을 지적했습니다. 일부 은행이 CC인증을 받지 않은 논리적 망분리 제품을 도입해 전자금융감독규정 위반 논란에 빠졌다는 내용이었습니다. 금융권은 올해 말부터 차례로 의무적으로 구축해야 하는 물리적 망분리 시한이 다가오기 때문에 마음만 분주합니다.
그런데 관련 규정이 모호해 금융권은 물론이고 시스템을 구축하는 솔루션 기업도 혼란스럽습니다. 그동안 CC인증은 정부나 공공기관에 구축하는 정보보호시스템에 보안기능과 안전·신뢰성을 위한 필수 조건이었습니다. 하지만 금융권에서는 CC인증을 받지 않은 제품을 네트워크에 설치한 예가 적지 않다고 합니다.
특히 망분리에 사용하는 장비나 솔루션은 천차만별이어서 어느 범위까지 CC인증을 받아야 하는지도 문제입니다. 최근엔 N은행이 발주한 망분리 프로젝트가 관심을 끕니다. 규모가 160억원에 이른다고 하니 관련 기업이 탐낼 만합니다. 수주전은 국내 망분리 솔루션기업과 외국 운용체계(OS) 전문 기업의 대결구도로 좁혀지는 상황이라고 합니다.
의외인 것은 망분리 프로젝트 수주전에 망분리 전문기업이 아닌 OS 기업이 뛰어든 사실입니다. 이 OS기업은 윈도7에서 윈도XP를 지원하기 위한 보안 기능을 내세워 수주전에 참가했다고 합니다. 그런데 OS기업이 보유한 CC인증은 망분리 솔루션으로 딴 게 아니라 윈도서버로 취득한 것입니다. 일부 가상화 솔루션 기업도 서버 플랫폼에 대해 취득한 CC인증으로 망분리 사업에 뛰어드는 실정입니다. 국산 솔루션은 프로젝트 구성요소 전체에 해당하는 CC인증을 받아야 하지만 외산솔루션은 일부 구성요소로 딴 글로벌 CC를 구성요소 전체에 대한 인증으로 인정해 준다고 합니다. 국산 솔루션기업이 역차별 받는 상황이 벌이지고 있는 것이죠.
상황이 이렇다면 국내 기업이 프로젝트 일부 구성요소로 글로벌 CC를 취득하면 전체를 다 취득한 것으로 인정해줄 수 있는 걸까요. 법·제도도 변화하는 시장상황에 맞춰 적용할 수 있도록 발전해야 합니다.
주문정기자 mjjoo@etnews.com