미국 정부가 우리나라 공공 소프트웨어(SW)·보안·클라우드 시장 개방에 대한 압박 수위를 높이고 있다.
국내 인증제도가 국제 표준과 달라서 글로벌 기업의 한국 시장 진출이 제한되는 만큼 우리 정부가 국제 표준을 준수해야 한다는 요구가 거세다. SW·보안업계는 이달 한·미 정상회담이 예정된 상황에서 미국의 전방위 압박이 인증 정책에 영향을 미칠지 우려하고 있다.
지난달 말 미국 무역대표부(USTR)가 발표한 '2023년 국가별 무역장벽보고서(NTE)'는 우리나라 SW진흥법, 공통평가기준(CC) 인증, 클라우드 보안인증(CSAP) 등을 무역 장벽으로 명시했다.
보고서는 우리나라가 대형 SW기업의 공공사업 참여를 제한하는데 외국계 기업은 규모와 상관없이 대기업으로 분류되는 경우가 많아 정부 조달 사업에서 제외된다고 꼬집었다. SW진흥법은 공공 조달에서 중소 SW사업자의 참여를 확대하고 제품 우선 구매를 요청할 수 있도록 규정하고 있다.
국가정보원이 수행하는 보안적합성검증 등 절차도 문제 삼았다. 공공기관은 보안 기능이 탑재된 정보통신기술(ICT) 제품을 도입할 때 국정원으로부터 보안적합성검증을 받아야 한다. 정부는 지난해 지침 개정을 통해 공공기관을 가·나·다 등급으로 나누고 나·다 등급은 국제 CC인증 제품도 보안적합성검증을 생략할 수 있도록 했다. 중앙행정기관, 외교안보시설, 정보통신기반시설, 광역지방자치단체 등 가 등급은 국내 CC인증을 받아야 한다.
미국 정부는 국제 CC인증이 한국 내에서 인정받지 못하는 데 대해 꾸준히 문제를 제기해 왔다. 이번 지침 개정도 충분치 않다고 지적했다.
보고서는 “전체 공공부문의 90% 이상을 차지하는 주요 공공기관 사업에는 여전히 보안검증 절차가 있다”면서 “한국에 국제보안평가상호인정협정(CCRA) 회원국으로서 의무를 준수하라고 촉구했다”고 기술했다.
보고서는 또 “국정원이 국제 표준 암호화 알고리즘인 AES(Advanced Encryption Standard)가 아닌 한국이 개발한 아리아(ARIA) 및 시드(SEED)를 기반으로 한 암호화 모듈만 인증하고 있다”고 밝혔다. 그러면서 “한국 전용 제품 라인 개발이 필요하기 때문에 사실상 미국 회사가 시장 접근을 제한받는다”면서 “국제 표준 기반 장비가 한국 공공 부문 시장에 완전한 접근을 보장하도록 한국에 촉구했다”고 덧붙였다.
CSAP도 다시 도마 위에 올렸다. 보고서는 “CSAP는 한국의 공공 부문에 서비스를 판매하려는 미국 클라우드 사업자에 상당한 장벽”이라고 지적했다.
보고서는 “한국은 지난해 8월 외국계 회사의 시장 접근 가능성을 개방하는 방식으로 CSAP 개정 검토에 들어갔다”면서 “지난해 8월과 10월 문제를 제기했고, 국제적으로 허용되는 다른 표준과 일치시키기 위해 한국과 지속해서 협력하겠다”고 밝혔다.
정부는 올해 초 CSAP에 등급제를 도입, 하 등급 업무(시스템)에는 글로벌 클라우드 기업도 서비스를 제공할 수 있도록 제도를 완화했다. 그러나 미국 상공회의소는 상·중 등급도 개방해야 한다는 주장을 지속 제기하고 있다.
SW·보안업계는 미국의 전방위 압박에 우려 섞인 시선을 보내고 있다.
한 보안업체 대표는 “외국계 기업은 보안검증 과정에서 기술 유출을 우려하는 탓에 국내 공공시장 진출에 소극적이었다”면서 “보안 인증 정책 기조가 변동하면 국내 산업 생태계에 큰 영향을 미칠 수 있다”고 말했다.
정부는 보안 인증 문제에 보수적일 수밖에 없다는 설명이다. 과기정통부 관계자는 “지난해 지침을 일부 완화했으나 공공기관에 설치되는 IT 장비에 대한 보안 검증은 엄격히 해야 한다”면서 “해외에서도 우리와 유사한 보안 검증 체계를 거치는 등 세계적으로 공공시설 보안을 철저히 하고 있다”고 말했다.
NTE 보고서는 USTR가 미 업계 의견과 경제 관련 정부부처, 기관의 의견을 참고해 작성해 매년 3월 말 미 의회에 제출하는 연례보고서이다. 주요 교역국의 법·정책·관행 등을 포괄 기술하고 무역장벽 철폐를 위한 조치와 관련된 정보도 담는다.
조재학기자 2jh@etnews.com
