싹 바뀌는 보안적합성 검증··· 시행 앞두고 업계선 갑론을박

실시간
뉴스

법제도/정책

싹 바뀌는 보안적합성 검증··· 시행 앞두고 업계선 갑론을박

디지털데일리 발행일 2022-10-21 17:33:18

이종현

URL복사

[디지털데일리 이종현기자] 국가정보원(이하 국정원)이 사이버보안 제품의 국가·공공기관 납품을 위해 받아야 했던 보안적합성 검증 제도를 개편한다. 공공기관을 중요도에 따라 3개 그룹으로 나누는 ‘등급제’를 실시하는 것이 골자다. 스타트업이나 외국계 기업의 공공 진출을 가로막던 장벽이 다소 완화될 것으로 예상되는 가운데, 업계에서는 기대와 우려가 혼재하고 있다.

개편은 11월 1일부터 시행된다. 기존 검증 정책이 그대로 적용되는 ‘가 그룹’, 보안기능 확인서나 국내·외 CC인증, 성능평가결과확인서, 신속확인서 등 4개 사전인증 요건 중 하나만 있으면 되는 ‘나 그룹’, 아무런 요건도 없는 ‘다 그룹’ 등이다. 전체 공공기관 중 가 그룹은 5%, 나 그룹 38%, 다 그룹 57%라는 것이 국정원의 설명이다.

21일 <디지털데일리>의 취재에 따르면 보안적합성 검증에 대한 기업들의 반응은 온도차가 크다. 바람직한 변화라고 반기는 이들이 있는가 하면 까다로운 조건을 만족시켜 인증을 따낸 것이 소용없어졌다고 불평하는 이들도 있다. 공공 시장 역시 외국계 기업이 차지할 것이라거나 큰 변화가 없을 것이라는 의견도 있다.

가장 많은 비중을 차지하는 것은 변화를 반기는 그룹이다. 사이버보안 스타트업 대표 A씨는 “보안기능 확인서나 CC인증 등, 보안적합성 검증에 대한 개편 요구는 업계에서 줄곧 제기돼 왔다. 지금이라도 개편된다니 다행”이라고 말했다.

A 씨는 기존 보안적합성 검증 제도의 문제로 인증 비용과 시간을 꼽았다. 수익을 내기 위해 제품을 팔아야 하는데, 정작 제품을 팔기 위해서는 먼저 돈이 필요한 아이러니한 상황이 연출된다는 것이다. 그는 “실제 인증을 신청한 뒤 1년 정도 절차를 기다리다가 직원들의 월급을 못 줄 처지가 돼 그대로 팀이 공중 분해된 사례도 있다”며 보안적합성 검증 제도에 대한 쌓여온 불만을 토로했다.

외국계 기업 역시 보안적합성 검증을 반기는 분위기다. 외국계 기업 관계자 B씨는 “대부분의 외국계 기업들은 공공 시장을 없는셈 치고 영업하고 있었다. 그런데 이제 일부나마 열리게 된다고 하니 반가울 수밖에 없다”고 기대를 나타냈다.

반면 우려를 나타내는 기업들도 있다. 보안적합성 검증 제도가 외국계 기업의 공공 사이버보안 시장 진출을 막는 역할을 했는데, 이번 개편으로 외국계 기업들의 진출이 활발해짐에 따라 국내 기업들이 피해를 볼 수 있다는 걱정이다.

보안적합성 검증 제도 개편에 비판적인 목소리를 낸 업계 관계자 C씨는 “규모 면에서 상대가 안되는 큰 글로벌 기업들과 경쟁하는 게 부담스러울 수밖에 없다. 일부 기업은 국내 기업 제품보다 가격마저도 싸다. 성장을 위한 경쟁이 돼야 하는데, 산업계가 초토화되지는 않을지 걱정스럽다”고 밝혔다.

한편 개편에도 불구하고 별다른 변화가 없으리라는 시각도 있다. 실제 많은 공공기관 제품 도입 담당자들은 인증이 필요치 않은 분야에서도 보안기능 확인서나 CC인증을 받은 제품을 선호한 만큼, 보안적합성 검증 제도가 개편되더라도 담당자의 인식 변화가 있기 전에는 현 상황이 유지될 것이라는 예상이다.