오늘부터 확 바뀌는 공공 보안제품 검증절차…지자체·초중고 보안제품 자율도입

등록 2022.11.01 06:30:00수정 2022.11.01 08:03:44

국가정보원 보안 적합성 검증절차 개편안 1일 시행

보안 중요도에 따라 가·나·다 그룹으로 나눠 검증절차 차등 적용

공공시장서 신기술 도입 가능…공공기관 납품 자격인증 소요 시일 및 투자 단축

신속확인제도 시행…융복합 보안 신기술 공급 활성화

국내 보안시장서 혁신기술 활성화 기대…외산기업 득세 우려도

[서울=뉴시스]송종호 기자 = 국가공공기관에 정보보호 제품과 서비스를 공급할 때 받아야 했던 보안 검증절차가 오늘부터 대폭 완화된다. 공공기관 중 절반 이상은 정부의 보안 검증절차를 거칠 필요없이 보안 제품이나 서비스를 구매할 수 있게된다. 그동안 혁신적이면서도 정부의 검증 제품 품목·규격과 맞지 않아 정작 공공 시장에 진입할 수 없었던 보안 기술들이 활성화될 것으로 기대된다.

1일 국가정보원이 개편한 보안 적합성 검증절차 제도가 이날 첫 시행된다. 보안적합성 검증은 국가·공공기관이 도입하는 방화벽·네트워크 장비 등 정보기술(IT) 보안제품의 안정성을 검증하는 제도를 말한다.

보안 중요도에 따라 3개 그룹으로 구분…일선 초중고, 사실상 검증절차 폐지

이번 개편안은 국가공공기관을 보안 중요도를 기준으로 가·나·다 등 3개 그룹으로 나눠 기관별로 보안 적합성 검증절차를 차등화한 것이 특징이다.

국방부처럼 국민의 안전과 밀접한 최상위 그룹(5%)는 깐깐한 기존 검증절차를 유지하되, 일선 초중교와 기초자치단체·산하기관 등 전체 공공기관 대비 57%에 해당하는 하위 기관은 보안적합성 검증 절차없이도 보안제품을 도입할 수 있도록 한 것이다.

먼저 '가'그룹에 속한 기관은 ▲중앙행정기관 ▲주요 기반 시설 관리기관 ▲국방부 소속·산하기관 ▲방사청·경찰청 등이 여기에 속한다. 이들 기관이 도입하는 보안제품과 네트워크 장비는 각 제품 유형에 따라 CC인증 또는 보안기능 확인서 등 사전 인증을 획득을 받아야 한다.

이어 '나'그룹은 ▲중앙행정기관 산하기관 ▲기타 공공기관 ▲각급 대학교 등으로 전체의 38%에 해당하는데, ▲보안기능확인서 ▲국내·외 공통평가기준(CC)인증서 ▲성능평가결과확인서 ▲신속확인서 가운데 하나를 갖춘 제품을 도입하면 보안적합성 검증을 받지 않아도 된다.

'다' 그룹은 ▲중앙행정기관 산하 위원회 ▲기초자치단체·산하기관 ▲초·중·고 등 각급학교 등으로 자체 판단에 따라 사전인증요건을 자율 지정하거나 생략할 수 있다.

문호 넓어지는 공공 보안시장…제품 인증 소요기간 대폭 단축

이번 규제 개선의 핵심은 새로운 기술이 인증 체계에 들어올 수 있게 된 것이다. 한국정보보안산업협회(KISIA) 관계자는 “기존에는 어떠한 예외도 허용하지 않는 엄격한 기준을 적용하다 보니 새로운 위협이 등장해도 신기술로 대응하기가 어려웠다”라며 “이런 점이 굉장히 문제로 지적돼 왔는데 이제 균형을 맞출 수 있게 된 것”이라고 평가했다.

협회의 설명처럼 국민 안전과 밀접하고 국가 중요시설을 관리하는 기관은 기존의 엄격한 검증 절차를 적용하고, 상대적으로 덜 중요한 기관에는 더욱 다양한 혁신 보안제품을 도입될 수 있게 하겠다는 취지다.

국정원 역시 이번 검증 완화가 규제 해소라고 평가했다. 국정원 측은 “보안 기업이 제품을 만들어 놓고 인증받기까지 길게는 1년 정도 걸린다”라며 “이제 이런 기다림 없이 나·다 등급 공공기관에 제품을 공급할 수 있게 된 것”이라고 평가했다. 이어 “이번 보안 검증 적합성 검증 완화도 좋은 제품을 발전시켜 나가자는 취지”라고 덧붙였다.

융복합 혁신 제품도 공급…신속확인제도 시행

보안업계는 이번 규제 개선을 시작으로 정보보안제품 신속확인제까지 시행되면 혁신 기술의 공공시장 진입은 더욱 가속화될 것으로 봤다.

정보보호 제품 신속확인제란 보안 평가기준 규격에 없는 신기술 융복합 제품에 대해서는 취약점 점검과 소스코드 보안 취약점 진단만으로 비교적 간편하게 공공기관 납품 자격을 주는 제도다.

KISIA 관계자는 “보안적합성 검증 완화에 이어 신속확인제가 개시되면 신기술 정보보호제품의 공공도입이 촉진될 것”이라며 “양 제도의 시행으로 보안제품의 판로가 확장되고, 보안 인증에 드는 비용과 시간이 크게 줄어들 것”이라고 설명했다.

국정원도 보안적합성 검증 완화에 맞춰 민간 기업과 접점 확대에 나섰다. 이달 국정원 산하 국가사이버안보센터(NCSC) 내 보안적합성 검증 조직을 성남시 분당구 판교로 이전한다. 국정원은 민간 기업과 접점을 확대해, 소통을 활성화하고 업계 의견을 신속히 수렴한다는 계획이다.

'외산 잠식' 우려도…"K보안 역량으로 우위 가능"

이번 검증 절차 완화를 두고 우려의 목소리가 없는 것은 아니다. 일각에선 외산 기업들에게 공공시장을 내주는 것 아니냐고 지적한다.

이에 대해 이동범 KISIA 회장은 “진입 장벽이 낮아지는 것을 두고 우려의 목소리가 있다”면서도 “(이번 규제 완화는) 길게 보면 보안산업이 국내에만 머물지 않고, 세계 시장에서 통할 수 있는 경쟁력을 갖도록 하는 역할을 할 것”이라고 진단했다.

또 다른 업계 관계자는 “국내 보안 산업은 IT산업 중 외산과 겨룰 수 있는 기술력을 갖춘 몇 안 되는 업종 중 하나”라며 “이 같은 경쟁 과정을 거쳐서 국내 산업도 성장할 수 있는 것”이라고 기대했다.

◎공감언론 뉴시스 [email protected]