"AI 보안 제품도 공공에 적시 공급…외교·안보 기관은 제외"

과기정통부, 이달 '정보보호제품 신속확인제' 시행
기존 CC 인증제에 평가기준 없던 제품 대상…"스타트업 공공 진입 기대"
공공기관 '가' 그룹 도입 위해선 국정원 보안적합성 검증 필요
조달청 수의계약 대상에도 포함 안돼

[이데일리 김국배 기자] 기존 보안 인증 제도 하에서 인증 기준이 없어 공공 부문 도입이 어려웠던 신기술·융복합 정보보호 제품을 위한 활로가 마련됐다. 다만 조달청 수의계약 대상이 아닌 점 등 풀어야 할 숙제도 남아있다.

과학기술정보통신부는 22일 기자간담회를 열고 이달 들어 본격 시행한 ‘신속확인제’를 소개했다. 통상 보안 제품이 공공기관에 도입되려면 CC인증이나 성능평가, 보안기능 확인서 등을 받아야 한다. 그런데 대상이 되는 제품(국가정보보안 기본지침 안전성 검증필 목록)은 20여 가지로 정해져 있다.

신속확인 제도 개요

그러나 신기술이 포함됐거나 융복합 제품 같은 경우 평가 기준 자체가 없어 인증을 받기 힘들다. 기업들이 어려움을 호소해온 부분이다. 이번에 마련된 신속확인제는 기본적으로 기존 인증 제도로 평가를 수행할 수 없는 제품이 대상이 된다. KISA 측은 “CC 인증, 보안기능 확인서, 성능평가 등 기존 인증 제도에서 국가용 보안요구사항이나 보호 프로파일이 마련되지 않아 평가할 수 없는 제품이면 신속확인제 대상”이라고 설명했다.

예를 들어 인공지능(AI) 기반 사이버위협 인텔리전스 제품, AI 소스코드 보안 약점 분석도구, 빅데이터 분석 기반 지능형 통합 보안 솔루션 등이 제도 대상이 될 수 있다.

기업이 사전에 준비해야 할 것은 취약점 분석·평가, 소프트웨어 보안 약점 진단, 기능 시험 등 크게 세 가지다. 굿소프트웨어(GS) 인증서를 제출하면 기능 시험은 대체 가능하다. 신속 확인서를 발급하는 제도 운영 주체는 한국인터넷진흥원(KISA)이다.

신청이 들어오면 과기정통부가 구성한 심의위원회에서 심의를 거치게 된다. 곽을경 과기정통부 정보보호산업과 사무관은 “이해충돌 문제로 산업계 인사는 포함되지 않고, 학계와 법조계 등 9명의 인사로 심의위원회가 구성될 것”이라고 했다. 사전 준비 기간을 제외하면 확인서 발급까진 약 한 달 반에서 두 달 정도가 걸릴 것으로 예상된다.

과기정통부는 이 제도로 신기술·융복합 정보보호 제품이 공공 시장에 빠르게 도입될 수 있을 것으로 기대한다. 스타트업이 공공 부문에 진입하는 효과도 기대하고 있다. 정부·공공기관 입장에선 혁신 제품을 도입해 새로운 보안 위협에 대응하는 역량을 강화할 수 있다.

한계도 있다. 신속확인서를 받았다고 조달청 수의계약 대상이 되진 못한다는 점이다. 현재 조달청 수의계약 대상은 CC인증이나 GS인증을 받은 제품이다. CC인증과 달리 신속확인서만으로는 중앙행정기관, 외교·안보 관계기관, 주요 기반시설(광역지자체 포함) 등 이른바 공공기관 ‘가’ 그룹에는 도입할 수 없다. 가 그룹의 경우 도입 이후 국가정보원의 보안적합성 검증을 받아야 제품을 운용할 수 있다. 한국정보보호사업협회(KISIA) 관계자는 “신속확인제는 기존 제도(CC인증) 내 신규 기준이 마련될 때까지 ‘징검다리’ 역할을 하게 될 것”이라고 말했다. 아직 신속확인제를 신청한 기업은 나오지 않은 상태다.

김국배 (vermeer@edaily.co.kr)