[ET단상]보안적합성검증체계 개편, 국내 정보보호산업 생태계 활력

국가정보원은 국가·공공기관에 도입하는 정보보호 제품의 안전성을 검증하는 '보안적합성 검증제도'를 전면 개편했다.

지금까지와는 달리 국가·공공기관을 기준에 따라 등급을 나누고 등급별로 정보보호 제품 검증체계를 달리한 것이 주요 골자다. 달라지는 도입 기준에는 성능평가 인정 범위 확대, 신속확인제도 등이 포함돼 다양한 유형의 정보보호 제품에 대한 도입 근거가 마련됐다.

보안적합성검증제도는 지난 1990년대 불모지와 같던 국내 보안 시장에서 온실 역할을 하며 국내 보안산업의 토대를 마련하고, 성장의 마중물 역할을 했다. 그러나 디지털 대전환 시대를 맞아 기존 인증제도만으로는 미래 지향적인 혁신 기술, 융합 기술 등을 담아내기에는 부족했다.

보안산업 생태계가 장기적으로 큰 발전을 이루려면 기존 중견기업이 국내 시장에만 안주하지 않고 해외로 진출해야 하며, 시장에 다양한 스타트업이 새로운 아이디어로 도전하는 역동성이 필요하다. 시장에 다양성과 역동성이 존재하고, 건전한 산업 생태계가 조성돼야 보안 유니콘 기업이 나올 수 있다.

이전 제도는 신기술로 사이버 세상을 지키려고 뛰어든 보안 스타트업이 넘기에는 어려운 장벽이었다. 일부는 장벽 앞에 무릎을 꿇었고, 일부는 장벽을 넘다가 혁신성·창의성을 잃고 기존 시장과 유사한 제품으로 전락했다.

제도 변경은 단기로는 기업별로 유불리가 있을 수 있지만 중장기로 산업 생태계에 더 많은 참여자가 진입할 수 있다. 고객 입장에서는 더 많은 선택지가 있으며, 궁극적으로 가격경쟁이 아닌 기술 경쟁을 유도함으로써 국내 보안산업의 경쟁력이 강화될 것이다. 특히 제도권 내 안주하던 혁신기업에는 온실을 박차고 나와서 글로벌 유니콘 보안기업으로 발돋움할 수 있는 환경이 조성될 것이다.

이러한 반론을 입증하는 것이 바로 국내 정보보호 스타트업 가운데 유니콘 기업이 전무하다는 점이다. 혁신 아이디어와 신기술을 보유한 스타트업은 국가·공공기관에 제품을 납품해서 레퍼런스를 쌓고 성장 발판을 마련하고자 하지만 보안적합성검증제도라는 장벽에 막혀 있는 것이다.

이러한 상황에서 보안적합성검증체계의 전면 개편은 정보보호산업에 혁신 바람을 일으킬 것으로 기대된다. 신기술을 보유한 스타트업뿐만 아니라 기존 기업도 그동안 시도하지 못한 다양한 혁신 기술을 적용한 제품을 납품할 기회이기 때문이다.

사이버 보안을 한마디로 말하면 '사이버 공격자와의 전쟁'이다. 우리는 환경(법·제도·정책)을 준수하며 방어하지만 공격자는 환경 제약 없이 공격하는 비대칭적 상황이다. 이 순간에도 공격자는 기상천외한 방법과 최신 정보기술(IT)을 이용해서 우리의 취약점을 파고들어 와 기회를 노리고 있다. 따라서 우리도 급변하는 IT 환경에 대응, 법·제도를 꾸준히 개선해야 한다.

최근 사이버 환경은 급변하고 있다. 우리는 지정학적 특성상 러시아와 우크라이나의 전쟁, 중국의 사이버 공격, 북한의 지속적 위협에 노출되는 등 위기 상황이다. 그러나 위기를 극복하면 기회의 장이 열린다.

비록 모든 기관에 혁신 제품의 도입이 가능해진 것은 아니지만 제도 개선은 산업계의 의견을 수렴하는 등 논의를 꾸준히 거쳐 왔다는 점에서 의의가 있으며, 이것을 기회로 활용할 필요가 있다. 급변하는 IT 상황에 대응해 국내 정보보호산업이 혁신해서 한 단계 더 도약할 수 있는 발판으로 삼아야 할 것이다.

마지막으로 국내 정보보호산업 발전을 위해 제도 혁신에 힘써 준 정책 당국자에게 감사의 말을 전한다. 정부와 연구기관, 학계, 산업계가 힘을 합쳐서 정보보호정책과 제도 개선에 대해 논의할 수 있는 자리가 지속되기를 희망한다.

이동범 한국정보보호산업협회 회장 dblee@genians.com