“하향식인 현행 제도를 상향식으로 바꿔야 합니다.”
내년 4월 총선을 앞두고 공천권을 당원 또는 국민에게 돌려줘야 한다는 의미로 읽히기 쉽지만, 사실 정보보안업계 관계자의 말이다.
공천권 등 권한 행사를 비롯해 의사결정 접근방식은 크게 하향식과 상향식으로 나눌 수 있다. 하향식은 결정권자가 일방적으로 '무언가'를 정하고 아래로 하달하는 방식이다. 반면 현장 목소리를 수렴해 아래에서 위로 올라가는 의사결정 체계가 상향식이다.
정보보안업계는 의사결정이 하향식으로 이뤄지는 대표적 산업이다. 정부가 각종 인증에 필요한 표준을 정해 하달하면 정보보안기업은 이에 맞춰 제품을 개발한다.
반면 해외는 물론 국내 다른 산업 분야에선 보안업계처럼 하향식으로 표준을 정하지 않는다. 산·학·연이 갈고 닦아 만든 기술 중에서 적합성 등을 따져 표준을 정한다. 아래에서 위로 올라가는 상향식인 셈이다.
이유는 간단하다. 정부가 인증 표준을 개발하면 시장 속도를 쫓아가지 못하고 더딜 수밖에 없다. 늦어지는 만큼 기술 흐름에 뒤처진다. 시장에서 자유로운 경쟁을 통해 기술과 제품을 개발하도록 하고, 정부는 이 중에서 표준을 정하는 역할만 하면 된다. 이와 같은 상향식 표준 선정 방식이 글로벌 스탠다드다.
하향식 인증 표준의 또 다른 문제는 국내 보안제품이 사일로에 갇힌다는 점이다. 정부가 정하는 표준에 맞춰 제품을 개발, 제작하기 때문에 내수용 제품만 우후죽순 쏟아진다. 오죽하면 보안업계에선 '해외에 나가지 못하는 갈라파고스 제품'이라는 한탄이 나올까.
틀 안에서 옴짝달싹도 하지 못해 답답한 기업이 있는가 하면 '우물 안'을 온실로 여기는 기업이 있다는 점도 서글픈 현실이다. 정부가 '자국 산업 보호'를 기치로 키를 잡은 보안산업에 들여진 긴 그림자라고 할 수 있다.
지난해 시행한 정보보호제품 신속확인제도를 눈여겨봐야 한다. 신속확인제도는 인증제도가 없는 융합 분야 제품을 인증하는 제도다. 국정원이 정해준 기준에 부합하지 않더라도 공공기관 납품이 가능하도록 길을 열어줬다는 점에서 상향식 인증 표준을 위한 제도로 볼 수 있다.
물론 제도 도입 반년이 훌쩍 지났지만 아직 제도 혜택을 누린 기업이 두개사 밖에 안 된다는 점에서 갈 길이 멀다.
보안업계는 산업 발전을 위해 정부 주도 인증 제도에 메스를 대야 한다고 입을 모은다. 업계 목소리를 외면하고 하향식 체제를 유지해서는 안 된다는 얘기다.
보안산업 역사는 길지만 이렇다할 글로벌 기업이 나오지 않는 이유는 어디에 있을까. 인증 제도 혁신을 고민해야 할 때다.
조재학 기자 2jh@etnews.com