[표류하는 '보안기능확인서']확실한 기준 부재·까다로운 절차 '걸림돌'

정부가 규제 완화와 새로운 보안제품의 공공 시장 진입을 목적으로 도입한 '보안기능 확인서' 제도가 표류하고 있다. 보안기능 확인서의 기준 부재와 까다로운 절차, 시험기관 부족이 중첩된 결과다. 정보보호 기업은 '보안기능 확인서' 획득 자체가 어렵다고 토로하고 있다. 시간과 비용 부담이 상당하고, 궁극적으로 규제 완화 효과를 체감하기 어렵다는 게 이들 기업의 입장이다. 기준과 절차가 불명확하다 보니 '제도 따로, 현실 따로' 가능성을 배제할 수 없다.

한국정보보호산업협회(KISIA)는 국가정보원과 과학기술정보통신부에 제도 개선을 요청했다. KISIA 관계자는 “보안기능확인서 발급 제도가 시장에 안착하고 기업 부담도 줄일 수 있도록 제도 개선을 건의했다”고 말했다. 확인서는 시험기관이 국정원의 검증 기준에 따라 제품의 보안 기능 만족, 구현 여부 등 시험 결과를 작성한 문서다. 국정원은 올 1월부터 국가·공공기관 정보보호제품 공급 요건에 CC인증, 성능평가와 더불어 확인서를 추가했다. 기존 CC인증 대상 제품은 물론 비대상 제품도 확인서를 발급받을 수 있도록 했다.

하지만 KISIA가 제도 개선을 건의할 정도로 현장에선 확인서가 겉돌고 있다. 확인서 획득의 최대 걸림돌은 '일반 보안요구사항' 승인이다. 제품 규격을 제조사가 만들어서 제품 성능 등을 입증하는 절차로, 국가용 보안요구사항을 준용해 일반보안 요구사항을 수립해야 하지만 신제품의 경우 적용이 쉽지 않다. 기업은 시험기관 주문에 따라 서류·기술보완 작업을 반복하는 등 시행착오가 반복되고 있다. 확실한 기준 부재뿐만 아니라 정형화한 절차가 미비하다.

기업 관계자는 “국가용 보안요구사항이 기존 제품 대상으로 마련됐기 때문에 신규 제품이 이에 맞춰 일반 보안요구사항을 승인받는 게 어렵다”면서 “시험기관도 신제품 규격을 승인한 사례가 적다 보니 기업에 보수적 기준을 적용하고 있다”고 말했다. 신제품의 일반 보안요구 사항을 다룰 시험기관도 부족하다. 5개 시험기관 가운데 2곳만이 가능하다.

상황이 이렇다 보니 기업은 확인서 획득 여부를 차치하고 필요한 기간과 비용 예측에 어려움을 호소하고 있다. 명확한 기준 및 절차 간소화가 수반되지 않은 한 제도와 현실 간 괴리는 벌어질 수밖에 없다. 새로운 융·복합 보안제품의 공공분야 도입 촉진이라는 애초의 취지도 퇴색될 공산이 크다. 신규 보안제품의 확인서 승인에 필요한 과정이 기업에 걸림돌로 작용하고 있어 일반 보안요구사항 발급과 관련한 모호성을 해소해야 하는 상황이다.

국정원 관계자는 “KISIA와 소통하고 있다”면서 “제도 개선 요구는 가능한 범위에서 적극 수용, 개선하고 있다”고 말했다. 이보다 앞서 국정원은 확인서 원격 시험 도입과 일반 보안요구사항 작성 시 구현명세서 활용 횟수 제한 해제 계획을 밝혔지만 구체적 시행 시점은 정하지 않았다.

최호기자 snoop@etnews.com