내달 3만개 공공기관 보안규제 완화...'혁신기술 촉진 vs 외산에 잠식'

황국상 기자 2022. 10. 30. 08:00
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

임종철 디자이너 /사진=임종철 디자이너

내달부터 국가·공공기관 IT보안제품 보안적합성 검증 규제 개선책이 시행되는 것과 관련, 수요기관과 업계에서 엇갈린 평가가 나오고 있다.

사이버 공격이 거세지는 상황에서 혁신적 보안 신기술 도입을 촉진하는 동시에 공공기관별 보안위협수준과 무관하게 일률 적용되던 기준을 세분화해 비효율을 개선할 것이라는 평가가 크다. 반면 보안적합성 심사완화가 외국산 보안 제품의 국내 시장 잠식으로 이어질 것이라는 우려도 제기된다.

3만여 국가·공공기관 중 95%에 보안검증 심사 완화
28일 관련 업계에 따르면 국가정보원은 내달 1일부터 국가·공공 분야 IT보안제품 보안적합성 검증 규제개선안을 시행한다. 3만여개에 이르는 중앙부처 및 산하기관 등 국가·공공기관을 중요도에 따라 '가·나·다' 3개 그룹으로 분류하고 각 그룹에 도입되는 IT보안 솔루션과 장비에 대한 검증도 차등화하겠다는 게 골자다.

전체 국가·공공기관의 약 5%인 '가' 그룹에는 중앙행정기관, 주요 기반시설 관리기관, 국방부 및 산하기관, 방위사업청·경찰청 등 국민 안전과 밀접한 데다 국가 중요시설을 관리하는 주요 기관들이 속해 있다. 이들은 기존처럼 국정원의 보안적합성 검증 절차가 그대로 진행된다.

반면 대상기관의 38%를 차지하는 '나' 그룹에는 중앙행정기관 소속 산하기관, 기타 공공기관, 대학교 등이 속해 있다. 나 그룹 기관들은 △국정원의 보안기능 확인서 △해외 CC(공통평가기준) 인증서 △과학기술정보통신부의 성능평가결과 확인서, CC인증서, 신속확인서 중 하나만 획득해도 보안적합성 검증을 생략할 수 있다.

나머지 57%를 차지하는 기관에는 중앙행정기관 산하 위원회나 기초 지자체 및 산하기관, 초중고교 등이 있다. 이들은 자체 판단으로 사전 인증요건을 자율적으로 지정할 수 있고 보안적합성 검증도 생략할 수 있다.

"국내산 IT보안 제품의 혁신성 높일 기회"
이미지투데이
국가·공공 부문은 국내 IT보안 시장의 주요 고객이다. 2021년 국내 정보보안 영역의 총 매출은 4조5497억원, 이 중 국가·공공부문은 40% 를 차지한다.

기존 공공기관은 모두 국정원의 보안적합성 검증을 통과한 제품만 써야 했다. 초등학교와 국방부가 같은 수준의 보안검증 요건을 통과한 제품을 썼다. 게다가 규정화된 검증기준으로 스타트업의 혁신 IT보안 제품은 공공시장에 발붙이기가 어려웠다. 인증이 없으면 제품납품도 제한돼 고객사례를 확보하지 못하는 악순환이 반복됐다. 인증이 장벽처럼 작용해 혁신이 발붙일 여지도 적었다는 얘기다. 이는 정보보호 기업의 해외진출등에도 걸림돌로 작용해왔다.

이같은 지적이 잇따르자 과기정통부 등 당국은 최근 혁신 정보보호 제품이 소스코드 보안약점 진단 등을 일정요건을 충족하면 국가·공공기관에 납품할 수 있도록 인증해주는 신속확인제를 도입하기로 했다. 국정원 역시 이같은 신속확인서를 받을 때 '나' 등급 공공기관이 도입하려는 IT보안 제품에 보안적합성 심사를 생략해주기로 했다.

업계에서는 이번 국정원의 보안적합성 검증 완화가 혁신기술을 반영한 IT보안 신제품의 공공시장 진출 문턱을 낮춘 것으로 평가한다. IT보안제품을 개발할 때 혁신을 도모할 여지도 커졌다는 것이다.

"외국산 제품에 시장잠식될 우려도"
다만 국정원의 보안적합성 검증 완화가 해외 업체들의 국내 시장 진입에 물꼬를 틀 것이라는 우려도 있다.

국정원의 보안적합성 심사를 통과하기 위해서는 IT보안 제품 개발에 쓰인 소스코드까지 모두 공개해야 했다. 국내 업체들은 이를 당국에 제공해왔지만 외국계 업체들은 IP(지식재산권) 보호 등 이유로 응하지 않았다. 자연히 국내 제품만 국가·공공기관에 납품될 수밖에 없었다.

이번 국정원의 개편안은 '나' 그룹 기관들이 도입할 IT보안 제품이 해외에서 CC인증을 받았을 때 보안적합성 심사를 면제해주는 내용을 담고 있다. 외국 제품의 국내 공공시장 진출을 막던 장벽 하나가 사라진 셈이다.

일각에서는 '나' '다' 그룹에 대한 보안적합성 심사 완화 또는 면제가 국내 기업들 매출에 큰 영향이 없을 것으로 보기도 한다. 지난해 기준 4조5497억원 규모의 국내 IT보안시장에서 국가·공공 부문의 비중이 40%이고, 여기서도 약 70%(전체 시장의 28%) 정도가 '가' 그룹이어서다. '나' '다' 그룹이 기관 수로는 95%로 많지만 지출예산의 규모는 30% 수준에 불과하다는 게 업계의 추정치다.

그러나 한번 물꼬가 뚫리면 외산 제품의 국내 공공시장 공략이 가속화될 것이라는 걱정은 여전하다. 특히 공공분야 보안 제도개선에 민간분야도 영향받을 여지가 크다.

한 업계 관계자는 "앞서 정보보호 시스템은 국가기관의 평가·인증을 받아야 한다는 전자금융감독규정의 조항이 2015년 삭제된 이후 금융 IT보안 시장의 상당 부분이 외국계 기업에 잠식당했다"면서 "당시 경험 때문에 업계에서 보안적합성 심사 완화 여파도 비슷할 것으로 우려한다"고 말했다.

[관련기사]☞ "도미노처럼 넘어져" 이태원 압사사고…끔찍했던 그 현장"송중기·김태리 데이트" 사진의 반전…알고 보니 현빈·손예진김새롬 "조혜련에 두들겨 맞아 실신" 충격 사연 공개예비 시아버지, 며느리에게 몰래 마약 투약…주사기만 160개 발견돼40대 김형준 "아빠가 매달 80만원 용돈 줘"…오은영 "기생 자식" 경악
황국상 기자 gshwang@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?