"보안 인증제도 개편 '획기적'…시장 마중물 될 것"

등록 2024.05.02 09:30:00

[인터뷰] 조영철 한국정보보호산업협회장

"정부가 가장 현실적인, 합리적인 선에서 개편 방안 고민한 것"

"인증 기간 단축은 업계의 오랜 갈증을 해소시켜 주는 '단비'와 같은 정책"

일본 도쿄 '재팬IT위크'현장에서 만난 조영철 한국정보보호산업협회(KISIA) 협회장(사진=송혜리 기자) *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = "제품 인증을 받는데 투입하는 인력과 비용이 만만치 않았는데 앞으로 그런 부담이 많이 줄어들 것 같습니다. 보안 시장 성장에 마중물이 될 것입니다."

조영철 한국정보보호산업협회(KISIA) 협회장의 기대다. 일본 최대 정보기술(IT)전시회 '재팬 IT위크'가 한창이던 지난 26일. 그는 일본 도쿄 현지에서 정부의 정보보호 인증제도 개편 소식을 접했다.

조영철 회장은 "정부의 과감한 인증제도 개선안을 진심으로 환영한다"며 "이번 제도개선이 국내 정보보호 산업에 혁신의 바람을 일으키기를 기대한다"고 말했다.

보안 업계 환영 "중소 부담 경감될 것"

기업들이 정보보호 사업을 제대로 하려면 정부 인증은 사실상 필수코스다.

가령, 정부 공공기관에 보안 제품과 서비스를 납품하기 위해선 정보보호제품 평가인증(CC 인증)을 받아야 한다. 하지만 중소·영세 기업이 대부분인 국내 보안업계 입장에선 이는 큰 부담이다.

실제 CC인증을 받으려면 평균 5개월에서 길게는 1년 넘게 걸렸다. 이 기간동안 수많은 개발인력들이 심사를 받는데 매달렸다. 비용도 5000만원이나 내야 했다. 이 때문에 인증취득 경험이 전무한 스타트업의 경우 그 자체로 커다란 장애물이 되고 있다는 게 보안업계의 진단이다.

공공기관에 클라우드 관련 제품을 공급하기 위한 클라우드 보안인증(CSAP) 역시 마찬가지다. 평균 5개월 이상 소요되고, 3000만원에 달하는 수수료 비용을 들여야 했다. 정부가 정보보호 인증제도 전면 개편에 나선 이유다.

정부가 이달부터 시행에 돌입한 정보보호 인증 개편안에 따르면, 인증 평가에 소요되는 기간이 기존 평균 5개월에서 최장 2개월 이내로 단축되고, 수수료 역시 50% 이상 줄어들 전망이다. 정부는 수요기업, 인증·시험기관 간 정례 소통창구를 마련해 추가로 발생하는 애로사항을 개선해나가겠다는 의지도 밝혔다.

업계는 '획기적'이란 표현까지 쓰며 환영하고 있다. 이들은 "인증 소요기간 단축과 중소기업 부담 완화를 위한 수수료 절감 방안은 업계의 오랜 갈증을 해소시켜 주는 '단비'와 같은 정책이 될 것"이라며 "바뀐 제도가 제대로 자리잡도록 해야 할 것"이라고 밝히고 있다.

"현실적이면서 합리적인 선에서 제도 개편"…시장 마중물 될 것

조영철 회장은 "정부가 가장 현실적인, 합리적인 선에서 개편 방안을 고민한 것 같다"고 평가했다.

특히 정부가 점검 항목을 일부 줄이고, 현장평가를 서면평가 등으로 대체한 것에도 높은 점수를 줬다. 이미 구축된 인증 등급을 대대적으로 손보지 않고도 인증기간과 비용을 줄일 수 있기 때문. 이를 통해 산업계는 기술을 고도화하는데 자원을 투입할 수 있고, 또 차별적인 기술로 시장 경쟁이 활성화 될 수 있을 것이라고 기대했다.

그는 "CC인증의 경우엔 등급이 1, 2, 3, 4 이렇게 나눠져 있는데 공공기관에 공급할 때는 2등급 수준의 기술로도 요건을 대개 충족하지만, 정작 기관에서는 통상 가장 높은 4등급을 요구한다"고 말했다. 이어 "4등급을 받아야 하기 때문에 인증 과정을 시작하면, 받기까지는 길게 1년 동안 적잖은 인력과 비용이 투입돼야 했다"면서 "이번 개편으로 받아야 하는 점검항목이 줄어드니, 인증 비용도 줄어들고 기간과 단축되는 효과가 생기는 것"이라고 말했다.

조 회장이 기대하는 또 하나의 항목이 CSAP제도 개선이다. 매년 현장에서 받아야 했던 인증 사후평가를 서면으로 대체하기로 했다는 점에 "과감한 시도"라며 후한 점수를 줬다. 그는 "사업자들의 비용과 행정 부담을 완화시킬 것"이라고 평가했다.

인증을 위한 인증보다는 성장 방향 바라봐야…공공 예산 확대도 기대

조 회장은 기업이 인증을 받기 위해 자원을 소모하기 보단, 차별적인 기술을 개발하기 위해 전력투구 할 수 있는 환경을 조성하는 것이 바람직할 것이라고 제언했다.

조 회장은 "현재 기업들이 받아야 하는 다양한 기술 인증제도를 좀 더 간략화할 필요가 있다"면서 "물론 용도가 다 다르기는 하겠지만 앞으로 오랫동안 개편해나가야 할 부분이라 생각한다"고 말했다.

이어 "인증이 많아지고 복잡해진다고 시장이 발전하는 것은 아니지 않느냐"면서 "인증은 기본적인 기능에 대한 평가를 하는 형태여야 하고, 각각 차별화된 요소로 시장 경쟁을 할 수 있도록 하는 것이 기술과 산업 성장에 도움이 될 것"이라고 강조했다.

그러면서 "인증으로 모든 것을 해결하려면 안된다"면서 "다행히 우리 정부가 이번 제도개편으로 시장 경쟁을 더욱 독려하는 방향을 바라보고 있는 것 같아 다행"이라고 말했다.

조 회장은 인증제 개편과 맞물려 적극적인 정부의 보안 예산 편성도 함께 이어지길 기대했다.

조 회장은 "우리 정부는 인공지능(AI)과 AI반도체 등에 예산편성을 적극적으로 하고 있는데, 이와 비교해 사이버 보안은 예산 규모가 아직 적은 편인 것 같다"면서 "시장 진흥과 글로벌 무대에서 K-보안을 알릴 스타기업 탄생을 위해 정부가 적극적인 지원을 해줄 수 있는 적기"라고 말했다.

◎공감언론 뉴시스 [email protected]