|
확인서 발급까지 9개월…“공공기관 수주 못해 매출 반토막”
12일 보안 업계에 따르면 네트워크 장비업체 A사는 지난 1월 말부터 순차적으로 5개의 제품에 대해 보안인증 확인서 발급을 신청했지만, 최근까지 인증을 받은 것은 2개에 불과하다. 그 중에 제일 빨리 받은 것도 지난 10월이나 돼서야 확인서를 받을 수 있었다.
국가·공공기관은 도입하려는 보안 제품에 대해 CC인증 획득·검증필 암호모듈 탑재 등 도입 요건의 만족여부를 우선 확인한 후에 제품을 도입해 시스템을 구축한 뒤 보안적합성 검증을 받아야 한다. 그간 보안 업계에서는 보안적합서 검증 절차에 시간이 많이 걸리고, 신기술들은 인증을 받기 어렵다는 어려움을 호소해 왔다.
이에 인증 정책을 담당하는 국가정보원은 절차 간소화를 위해 소프트웨어 기반 보안USB, 가상화 관리, 네트워크 장비, 네트워크 자료유출 방지, 호스트 자료유출 방지, 망간 자료전송 등 일부 제품군에 한해 보안기능 확인서만으로 대체할 수 있는 `선(先)검증` 절차를 2022년까지 단계적으로 시행하기로 했다. 당장 올해 1월 1일부터 소프트웨어 기반 보안USB, 가상화 관리, 네트워크 장비에 대해 제도를 적용하고 있다.
하지만 확인서 발급을 위한 보안 요구사항과 절차 등에 대한 자세한 안내가 없어 현장에서는 혼란만 가중되고 있고, 확인서 발급에 기업들이 몰리면서 오히려 기간이 더 소요되고 있다는 불만이 쏟아지고 있다. 확인서 발급이 늦어지면서 기존의 CC인증 유효기간이 만료돼 공공기관 수주를 하지 못해 실적에 큰 타격을 입었다는 회사들도 나왔다.
A사 관계자는 “지난해 제도 도입을 위한 설명회에서는 확인서 발급까지 3~4개월 걸릴 것이라고 언급했는데, 시험기관의 준비가 상당히 미흡하다는 느낌을 받았다”며 “검증을 주관하는 국가보안기술연구소의 담당자가 지정되기까지만 20일 정도의 기간이 걸렸고, 월 1회 평가 등으로 인해 대기기간이 길어졌다”고 말했다.
이어 그는 “공공기관 수주를 못하면서 연간 매출이 반토막났다”며 “제도 시행 이전에 주로 외국계 기업들이 보안기능 확인서를 많이 받았는데, 외국계 기업들은 확인서 발급 관련 바뀐 규정으로 인해 유예기간을 인정받고 국내 기업들은 인증 공백이 생기면서 외국계 기업들이 반사 이익을 얻은 것으로 보인다”고 토로했다.
2022년부터 제도가 적용되는 망간 자료전송 업계의 B사 관계자도 “대부분 시험기관에서 보안기능 확인서 발급을 위한 인력을 따로 두지 않고 CC인증과 같이 담당하다 보니 CC인증 스케줄이 밀려있으면 보안기능 확인서도 미뤄질 수 밖에 없다고 한다”며 “국정원에서는 CC인증 만료기간 6개월전 이전부터 확인서 발급 신청이 가능하다고 했는데, 정작 시험기관에서는 제도가 시행되는 2022년 1월 1일 이전 6개월 전부터 가능하다고 해 신청 기간에 대해서도 혼선을 빚고 있다”고 지적했다.
수천만원 비용 부담도…“기준도 제각각이라 예측 불가능해 답답”
보안적합성 검증은 국정원이 국가보안기술연구소에 시험을 의뢰해서 진행하기에 기업 입장에서 따로 비용이 들지 않았지만, 보안기능 확인서는 한국정보통신기술협회(TTA)·한국정보보안기술원(KOIST)·한국아이티평가원(KSEL)·한국기계전기전자시험연구원(KTC) 등 8개 민간 기관에서 발급을 진행하다 보니 인건비 등 수수료 명목의 비용을 받고 있다. A사의 경우 총 4000만원 가량의 비용을 지급했다.
비용 기준은 시험기관마다 제각각이다. 시험기관들은 국정원에서 내려준 대략적인 절차 등에 맞춰 각 기관별로 구체적인 방법 등을 마련, 이를 기반으로 비용을 산출해 받고 있다.
B사 관계자는 “어느 정도의 비용과 시간을 들여 확인서를 받을 수 있는지 예측이 가능해야 사업을 준비해 나갈 텐데 이런 것들이 명확히 정해지지 않았고, 안내도 제대로 이뤄지지 않고 있어 답답한 상황”이라고 하소연했다.
`인증제도 싹 고치자` TFT 구성 제안…국정원 “긍정적으로 검토”
한국정보보호산업협회(KISIA)에서도 해당 제도에 대한 문제점을 인식하고 개선을 요구하고 있다. 정부와 시험기관, 보안업계가 모여 근본적으로 국가 인증제도에 대해 큰 틀에서 한번 점검하고 제도를 다시 설계하기 위한 태스크포스팀(TFT)을 만들자고 제안했으며, 이에 대한 답변을 기다리고 있는 상황이다.
이동범 KISIA 회장은 “전체적으로 기간도 오래 걸리고 신기술들을 제대로 평가해주지 못하는 등 패스트트랙 제도가 원래 취지대로 작동을 하지 못하고 있어 문제”라며 “인증 제도 관련 여러 이해관계자들의 의견을 수렴해 전반적인 개선이 필요하다”고 강조했다.
국정원은 제출물 보완 등으로 기간이 다소 지연된 경우는 있지만, 특별한 사유가 없는 한 통상 4개월 가량의 기간이 소요되고 있다는 입장이다. 국정원 관계자는 “일부 신청업체의 경우 제출물 보완, 미흡기능 개선 등의 요구사항이 충족되지 않아 발급기간이 지연되는 사례가 있었다”며 “민간 시험기관의 시험수수료는 민간 업체간의 자율적인 계약이기에 국정원이 관여하지 않는다”고 설명했다.
이어 그는 “보안검증 관련 KISIA와 적극 소통하며 의견을 수렴하고 있으며, TFT 구성 제안이 확인되면 긍정적으로 검토하겠다”고 덧붙였다.
![[증시 핫피플]“2루타 쳤다”는 진양곤…HLB 패닉셀 어쩌나](https://image.edaily.co.kr/images/Photo/files/NP/S/2024/05/PS24051800028t.jpg)
!['선재 업고 튀어' 속 그 차, 시간을 돌려서라도 갖고 싶은걸[누구차]](https://image.edaily.co.kr/images/Photo/files/NP/S/2024/05/PS24051800050t.jpg)
