공공분야에서 외산 보안 제품의 진입 장벽이 허물어진다. 국제 공통평가기준(CC)인증을 받은 정보보호제품도 추가 검증 없이 공공기관에 도입할 수 있게 된다. 국제 CC인증과 별도로 운영되던 국내 CC인증과 보안적합성검증은 국내 보안 기업을 위한 장벽으로 작용한 만큼 국내 보안 기업의 반발이 예상된다.
국가정보원은 다음 주에 국가 보안적합성검증 지침 개정안을 발표한다. 보안적합성검증은 공공 부문에 도입하는 보안 제품 안전성과 보안성을 검증하는 제도다. 국정원은 보안적합성검증 대상 공공기관을 단일 등급에서 가·나·다급으로 차등화한다. 나·다급은 국제 CC인증 제품도 보안적합성검증을 생략할 수 있도록 지침을 개정한다. 현재 이 검증을 생략하려면 국내 CC인증, 보안기능확인서, 성능평가를 받아야 한다.
나급은 전파관리소, 일반 공공기관, 지방경찰청, 대학교 등이다. 다급은 학교(초등학교, 유치원), 지방자치단체 산하기관 등이 포함된다. 나·다급이 전체 공공기관의 80% 이상을 차지하고 있어 지침 개정이 미치는 파급력이 상당할 것으로 전망된다. 국정원은 “정부의 보안인증 분야 정책개선을 반영하고 검증정책의 효율성 제고를 위한 방편”이라면서 “나·다급은 가급 대비 완화적 인증 정책을 적용해 보안기능확인서, 국내외 CC인증, 성능평가 가운데 하나를 받으면 보안적합성검증을 생략하도록 할 예정”이라고 말했다.
국정원 조치는 규제개선과 무역 마찰 해소 차원으로 읽힌다. 그동안 보안적합성검증 과정에서 국내외 CC인증은 동일한 효력을 내지 못했다. 2010년 국내 CC인증 제품은 보안적합성검증이 생략됐지만 국제 CC인증 제품은 기관 도입 이후 추가 검증을 통과해야만 공공시장에 설치할 수 있다. 그 과정에서 제품의 소스코드 검증 등이 진행, 기업에 부담으로 작용했다. 이 때문에 국제 CC인증을 획득한 해외 기업은 국내 시장 진입 걸림돌로 보안 관련 제도를 지목해 왔다.
미국 무역대표부(USTR)도 '2022 국가별 무역평가서'에서 “한국은 CCRA 회원국으로 CC인증을 상호 인정해야 하지만 공공기관 도입 시 국정원의 추가 검증을 시행하고 있다”면서 “검증 절차를 비공개 방식으로 관리하고 국가 안보 영역을 넘어 학교, 지자체 등 모든 정부 기관으로 적용 대상을 확대하고 있다”고 지적했다. USTR는 평가서를 통해 “국제 표준에 기반한 장비가 한국 공공시장에 완전히 접근할 수 있도록 해야 한다”며 보안 검증 제도의 개선을 촉구하기도 했다.
국내외 보안 업계의 반응은 극명하게 엇갈렸다. 국내 업계는 시기상조를 우려하지만, 해외 기업은 규제 해소 효과를 기대했다. 국내 보안기업 관계자는 “비슷한 성능의 제품이라도 인지도 측면에서 해외 제품에 대한 선호도가 높을 수 있다”며 “국정원 요구 사항에 맞는 성능 인증이 이뤄진 제품이 공공기관에 도입되는 게 보안 측면에서 유리하다”고 말했다.
외국계 기업 관계자는 “국정원의 세부 지침이 나와봐야 알 수 있지만 이미 CC인증을 획득한 제품을 한국에서만 추가 인증받아야 하는 이중 규제가 단계적으로 해소될 것으로 기대한다”고 말했다.
〈표〉 보안적합성검증제도 개편(안)
,
최호기자 snoop@etnews.com
