국내 정보보호산업계가 최근 외산 정보보호제품의 공공시장 공급과 관련해 우려의 목소리를 냈다.
외산 제품이 국가정보원의 보안적합성 검증제도를 충분히 거치지 않고 공공기관에 도입될 수 있는 데다, 사후 검증에서 문제가 발생해도 별다른 조치를 취하기 어렵기 때문이다. 동일한 방식으로 외산 제품의 공공진입이 본격화될 경우 외산 확산과 시장 혼란이 가중될 전망이다.
한국정보보호산업협회(KISIA) 산하 자율보안협의체는 지난 17일 오후 서울 송파구 IT벤처타워 KISIA에서 '외산 보안제품의 공공시장 공급 관련 긴급 회의'를 열고, 데이터 주권 및 보안 주권 위협, 역차별 등을 호소했다.
자율보안협의체가 이번에 확인한 사례는 최대 137억원 규모의 '한국은행 망 분리 개선 시범이용 시스템 구축 및 운영 사업'이다. 외국계 기업인 팔로알토네트웍스의 제로 트러스트 보안 제품이 국가정보원 보안 검증을 남겨둔 채 한국은행에 공급됐다. 한국은행은 해당 사업에 대한 보안성 검토는 받았지만, 팔로알토네트웍스 제품에 대한 보안 검증은 도입 이후에 진행하기로 했다.
국가·공공기관에 정보보호제품을 납품하려면 국정원 보안적합성 검증을 받아야 한다. 보안적합성 검증은 국내 국제공통평가기준(CC) 인증 또는 보안기능확인서를 획득해 어느 사이트나 공급할 수 있는 '사전 인증 제도'와, 해당 사업에 대해서만 '선도입 후검증'하는 사후 보안적합성 검증으로 크게 구분할 수 있다.
그간 국내 기업은 정보보호제품을 대상으로 국내 CC인증이나 보안기능확인서를 받아 국가·공공기관에 공급해왔다. 국가·공공기관 등 수요기관이 국내 기업에는 사후 보안적합성 검토 대신 절차가 간편한 사전 인증을 요구하기 때문이다.
반면 외국계 기업은 국내 CC인증이나 보안기능확인서를 받아야 하는 공공시장엔 관심을 두지 않았다. CC인증 등을 받으려면 국정원 요구 사항에 맞춰 '국내 맞춤형 제품'을 만들어야 하는데 한국 공공시장만을 위한 제품을 개발해야 할 유인이 없어서다.
이번 사례는 한국은행이 '사후' 보안적합성 검증을 받는 방식으로 외산 기업에 길을 열어준 경우다. 사후 보안적합성 검증은 해당 사업별로 검증을 받아야 하지만, 발주기관들이 마음만 먹으면 이번과 같은 일이 얼마든지 벌어질 수 있다.
박윤현 KISIA 정보보호정책연구소장은 “외국계 기업의 플랫폼화된 제품은 사전인증을 받으려면 2년 정도 장기간이 소요된다”며 “이번 팔로알토네트웍스 사례는 사후인증으로 이를 우회한 케이스”라고 설명했다.
사후 보안적합성 검증이 유효할지에 대해서도 의문이 제기된다.
국정원은 '팔로알토네트웍스 제품이 보안적합성 검증을 받을 것'이라는 전제로 보안성 검토를 완료했다는 입장이다.
문제는 팔로알토네트웍스가 보안 적합성 검증을 받지 않거나 검증을 통과하지 못하더라도 별도 조치를 할 수 없다는 점이다. 사이버안보업무규정(제9조)에 따라 한국은행이 해당사업의 보안성 검토 결과에 대해 이행했는지 여부를 확인하고 '권고'할 수 있을 뿐이다.
IT 제품의 특성상 한번 설치된 제품을 다시 걷어내기는 어렵기 때문이다.
김일용 앤앤에스피 대표는 “(통상) 한번 구축된 장비를 쉽게 철거할 수 없다”며 “보안성 검토 단계에서 확인했어야 할 사안”이라고 말했다. 사전에 검토를 철저히 했어야 한다는 의미다.
가장 큰 우려는 이른바 '소버린 시큐리티' 문제다. 보안제품은 특성상 내부 시스템에 대한 장악력이 있는데 국가·공공기관에 외산 보안제품이 도입될 경우 데이터 주권이 위협받을 수 있다. 또 외산 보안 솔루션 의존도가 심화될 경우 보안 주권 역시 안전하지 못하다.
김진수 KISIA 자율보안협의체 의장은 “AI 강국 도약을 위해 '소버린 AI'를 핵심 국가 전략으로 내세우고 있는 시점에서 '소버린 시큐리티'는 필수조건”이라며 “안전한 AI시대의 소버린 시큐리티를 위해 국가보안에 필수적인 정당한 보안적합성 검증제의 확립이 필요하다”고 말했다.
이번 사례를 두고 국내 기업 역차별이라는 볼멘소리도 나왔다. 국내 기업은 공공시장에 납품하기 위해 시간과 비용을 들어 CC인증 등 인증을 취득·보유한다.
전수근 안랩 공공영업본부장은 “안랩이 가지고 있는 31개 솔루션에 대한 CC인증 등을 유지하고 관리하는 데만 엄청난 비용과 시간을 소모하고 있다”며 “공공시장이 이대로 흘러가지 않도록 심도 있는 정책적 고민이 필요하다”고 말했다.
이날 참석자들은 정보보호산업계 발전을 위해 신사업 투자 유도를 위한 정책기관의 역할, CC인증 제품 도입 기관에 경영평가 가산점 부여, 정보보호 컨플라이언스 재점검, 보안사고 발생 시 과징금 등 페널티 부과, 국내 기업 간 통합 레퍼런스 모델 개발 등을 제언했다.
이동범 KISIA 명예회장은 “국내 기업은 글로벌 기업처럼 엄청난 자금력이 없기에, 인증(시장)이 없는 사업에 대규모 투자할 수 없다”며 “클라우드 사례를 반면교사 삼아 선제적으로 신기술 분야의 인증을 만드는 등 국내 기업이 신사업에 투자할 수 있는 환경을 조성하는 정책기관의 역할이 필요하다”고 말했다.
조재학 기자 2jh@etnews.com
![[기재위국감] 탈세 단말기 뿌리는 미등록 PG…국세청, 1년째 속수무책이었나](https://www.tfmedia.co.kr/data/photos/20251042/art_17607135118215_c53178.png)
![[AI MY 뉴스] 트럼프, 수입차·중대형 트럭 고율관세…글로벌 무역 긴장 고조](https://img.newspim.com/etc/portfolio/pc_portfolio.jpg)