보안적합성 검증필 목록 폐지로 보안시장 大지각변동 ‘예고’
국가정보원 IT보안인증사무국의 보안적합성검증 제도 변화로 보안 시장의 변화가 예고되고 있다. 그동안 외산 솔루션들에게는 진입장벽으로 작용하면서 공공시장을 ‘그들(국산 벤더)만의 리그’로 만들었던 국가보안성 검증제도 변화로 공공시장에 대한 외산 보안 기업들의 시장 참여 기회가 확대될 것으로 전망된다. 또 국정원은 시장 현안으로 부상한 CC인증 적체 현상을 해소하기 위한 다양한 방안도 발표했다. 달라지는 보안 인증 제도를 살핀다. | 오현식 기자·hyun@datanet.co.kr |
국내 보안 시장의 경쟁구도에 대대적인 지각변동이 바람이 예고되고 있다.
국내 보안 시장 전체의 판도를 바꿔버릴 수 있을 만큼의 커다란 잠재력을 갖고 있는 폭풍의 진원지는 바로 국가정보원. 국가정보원 IT보안인증사무국이 지난 4월 초 발표한 정보보호시스템 평가인증제도 개선 방안이 폭풍의 진원지이며, 특히 공공기관 보안 솔루션 도입의 전제조건이라고 할 수 있는 보안적합성 검증 제도의 변화가 핵심이다.
보안적합성 검증이란, 공공기관에 보안 제품을 공급하기 위해서는 반드시 거쳐야만 하는 절차. 공공기관 보안 솔루션 도입의 전제조건이기에 보안적합성 검증 제도의 변화는 곧 보안산업 최대의 수요처라고 할 수 있는 공공시장에 대한 경쟁 구도 재편을 가져올 수 있는 동인이 된다.
전제조건에서 사후 승인으로
4월 2일 서울 삼성동 코엑스에서 ‘정보보호시스템 평가인증제도 개선 설명회’에서 발표된 보안적합성 검증 제도의 가장 큰 변화는 현재의 ‘先검증 後도입’에서 ‘先도입 後검증’으로 변동된다는 점이다.
‘先검증 後도입’이란, 보안적합성이 검증된 제품만을 도입해야 한다는 의미. 즉, 기존에 공공기관이 보안 솔루션을 도입할 때에는 국정원이 공개하고 있는 보안적합성 검증필 목록에 포함된 제품들 가운데 선택해야 했다. 도입하고 싶은 솔루션이 목록에 없을 때에는 도입기관이 도입하려는 제품에 대한 보안적합성 검증을 국정원에 요청, 검증필을 획득한 후에 도입이 가능했다.
하지만, ‘先도입 後검증’으로의 제도변화는 도입 시부터 검증필 제품을 선택해야 하는 것이 아닌 도입 후 실망에서 보안적합성 검증을 받아야 함을 뜻한다. 공공기관에 먼저 보안적합성 검증 절차를 밟을 필요 없이 즉시 솔루션을 도입해 사용하고, 이에 대한 보안적합성은 실사를 통해 검증받으면 된다. 이후 실망에서의 테스트로 진행되는 보안적합성 검증에서는 실제 나타난 취약점을 점검, 이에 대한 대응책을 요청하도록 공공기관에 문제점을 통보하게 된다.
‘先검증 後도입’에서 ‘先도입 後검증’으로 보안성 검증 방식이 변화함에 따라, 보안성 검증 대상이 기존 기술문서 점검에서 실제 운용환경과 취약점 점검을 강화하는 방향으로 변화하게 되는 등 연쇄적인 변화가 일어나게 됐다. 실망에서의 취약점 점검 외에도 보안적합성 검증이 솔루션 도입의 가부(可/否)를 결정짓던 역할도 사라지게 됐으며, 검증필 제품의 보안 등급을 나타내던 ‘가, 나, 다’ 등급제도 폐지되는 한편, 적합성 검증 구비서류도 검증신청서와 기술제안요청서(RFP) 사본 각 1부로 간소화된다.
국가정보원 측은 “보안적합성 검증 방식 변화는 실망 중심의 검증을 통해 보다 실질적인 보안 수준 향상을 이뤄지게 하기 위함”이라고 설명하면서 “보안적합성에서는 공급 벤더의 기술제안요청서에 의거해 취약점을 점검하고, 검증 과정에서 나타난 취약점을 공급 벤더에서 전달, 수정하게 함으로써 실질적 보안 수준 향상 효과를 가져 올 것”이라고 밝혔다.
보안적합성 검증이 도입 제품의 가부 결정 역할을 수행하지 않게 됨으로써 현재 공개되고 있는 적합성검증필 목록 역시 사라지게 됐다. 제도 변화에 따라 현재 공개되고 있는 보안적합성 검증필 제품 목록이 의미가 없어지게 되는 것. 이에 국정원은 제도 변화와 동시에 검증필 목록을 더 이상 공개하지 않고 폐기할 방침이다.
CC인증 보호 프로파일이 존재하지 않고, 암호화 제품에도 해당되지 않는 일부 경우에만, 올해 말까지 검증필 제품 목록이 유지된다. 디지털 복합기가 이에 해당하는 대표적인 제품이다. 국정원은 디지털 복합기 폐기 시 내부 HDD에 남겨진 데이터로 인한 정보유출을 막기 위해 완전삭제 모듈 권고하고, 이에 대한 보안적합성 검증을 실시하고 있다. 그러나 디지털 복합기에 대한 평가를 진행할 수 있는 CC 규격이 없기에 이 부문에 대한 검증필 목록은 올해 말까지 제공되는 것이다.
국정원은 장기적으로 디지털 복합기 등 CC에 해당하지 않는 제품의 경우, ‘IT 보안 제품 기술 규격’을 마련해 검증필을 대체할 방침이다. 기술 규격이 마련되면, 공공기관은 이 규격에 준하는 솔루션을 선택해 사용하면 된다. 국정원은 현재 디지털 복합기에 대한 기술 규격을 마련하고 있는 것으로 전해지며, RFID/USN 등 신규 신기술에 대한 기술 규격 제정을 이어나가 우리나라가 신기술 보안 분야에서 기술적 리더십을 가져올 수 있도록 할 복안이다.
공공시장 문 열렸다
‘先도입 後검증’으로의 변화로 공공시장은 보다 다수의 기업에게 문을 열게 됐다. 지금까지는 보안성검증필 목록에 등재된 솔루션에만 국한됐던 공공시장에 대한 기회가 더 많은 기업의, 더 많은 솔루션에 개방되는 것이다.
공공시장이 보안의 최대 시장임은 주지의 사실. 한국정보보호산업협회(KISIA)에 따르면, 2007년 전체 정보보호 매출 중 공공기관의 수요가 차지하는 비중은 20%를 상회해 가장 큰 비중을 차지했다. 국공립 교육기관까지 포함하면 전체 정보보호 시장의 1/3 수준까지 높아지게 된다. 행정부처 개편 이전 교육인적자원부는 산하 기관에 보안적합성검증필 제품을 도입을 여러 차례 권고한 바 있어 적합성 검증의 영향권으로 볼 수 있다. 즉, ‘先도입 後검증’으로의 변화는 전체 보안 시장의 1/3이 새로운 기업과 솔루션이 참여하는 새로운 경쟁 국면을 맞이함을 의미하는 것이다.
특히 그간 보안적합성 검증에서 소외됐던 글로벌 기업들의 적극적 진출이 예상된다. 지난해 8월에야 티핑포인트 IPS가 외산 솔루션으로는 첫 번째 보안적합성 검증필을 획득했을 정도로 보안적합성 검증이 외산 기업의 참여를 제한해 왔던 것은 부인할 수 없는 사실이다. 지금까지 외산기업의 보안적합성 검증필 획득은 단 3종에 불과한 상황이었다.
하지만, 이번 조치로 이러한 규제 아닌 규제가 사라지게 돼 글로벌 기업들은 공공시장 진출확대에 대해 기대감을 숨기지 않고 있으며, 이에 공공시장을 둘러싼 국산 보안 솔루션과 외산 보안 솔루션의 일대 격전이 예상된다.
실제로 이번 설명회에 참석했던 외산 기업의 관계자들은 “이번 설명대로라면 실질적으로 외산의 진입장벽이 됐던 부문들이 사라지게 되는 것”이라고 반색하면서 “공정하게 경쟁하게 됨으로써 공공시장에서도 글로벌 위상에 걸맞는 점유율을 가져갈 수 있을 것”이라는 자신감을 표명했다.
공공기관 도입 기준, CC로 통일
보안적합성 검증 제도의 방법이 변화하게 됐지만, 그렇다고 해서 어떤 제품이나 도입되는 것은 아니다. 국정원은 인증 제도 개선 설명회에서 공공기관의 도입 가능한 솔루션을 EAL2 수준 이상의 CC인증(국내용 인증 포함)으로 제한시켰다. 이는 보안성이 뒤떨어진 제품이 공공기관에 공급돼 보안 사고를 유발하는 것을 막기 위한 최소한의 안전장치라고 할 수 있다.
국정원 측은 “CC인증 영역에 해당되지 않는 보안 솔루션의 경우에는 공공기관용 IT 보안 제품 기술 규격을 마련, 이를 통해 제품이 도입될 수 있다”며 “암호화 제품의 경우에는 기존과 같이 국가보안기술연구소와 한국정보보호진흥원이 진행하는 상용 암호모듈 검증을 수행하면 공공기관 공급이 가능하다”고 부연 설명했다.
사실상 공공기관의 보안 솔루션 도입 여부를 결정짓는 기준이 보안적합성 검증에서 CC인증으로 변화한 것과 다름없기에 CC인증의 중요성은 더욱 높아질 전망이다. CC인증의 중요성이 높아짐에 따라 현재 진행형인 인증 적체 현상 해소는 최우선 선결과제로 떠오른다.
2006년 CCRA 가입 이후 발생한 인증 적체 현상으로 인해 민간평가기관 설립, CC인증에 준하는 국내용 인증 신설 등 다양한 방법이 제안됐지만, 아직까지도 뚜렷한 효과를 거두지는 못하고 있는 상황이다. 평가계약부터 실제 인증까지 1년 이상이 소요되는 심각한 적체는 여전하다. CC인증의 중요성이 높아지는 만큼 제품의 우수성과 관련없이 업체의 CC인증 신청과 획득 시기에 따라 비즈니스의 성패가 가늠되는 심각한 시장 왜곡 현상이 발생할 가능성은 더욱 높아진다.
또 인증적체는 국내 기업들에 대한 역차별 이슈를 낳을 수도 있다. 글로벌 기업들의 경우, 해외에서 CC인증을 획득한 까닭에 인증적체 이슈가 없기 때문이다. 따라서 국산 보안기업을 위해 현재 진행형인 인증 적체 현상의 시급한 해결이 요구된다.
평가물 간소화로 인증 적체 해소
국정원은 CC 적체 현상 해소를 위한 다양한 방안을 제시했다. 우선 눈에 띄는 것은 보호 프로파일의 조정이다. 국정원 관계자는 “국내 보안 시장에서 요구되는 인증 수준이 너무 높아 적체 현상을 가중시키고 있다”고 지적하면서, “분야별로 보호 프로파일의 최고 등급을 재조정해 과도한 보안 수준 요구가 사라지도록 하겠다”고 강조했다. 국정원은 전반적으로 EAL3 수준의 인증이 보편화되도록 유도할 방침이다.
인증 수준이 높을수록 인증기간은 길어질 수밖에 없다. 살펴볼 서류가 더 많아지고, 테스트해야할 기능 역시 증가하기 때문이다. 하지만, 국내에서는 ‘높은 CC등급=높은 보안성’이란 인식이 존재해 더 높은 수준 인증 경쟁이 벌어지고 있다. 따라서 국제 수준과 비교해 과도한 인증 수준이 요구되는 솔루션의 최고 등급을 제한해 지나치게 높은 수준의 인증이 수행되지 않도록 조절하겠다는 것이 국정원 측의 계획이다.
예를 들어 EAL3+ 수준의 인증획득이 일반적인 가상사설망의 경우 EAL3을 최고 등급으로 하며, EAL3 수준인 스팸메일차단시스템도 EAL2가 최고 등급이 된다. 국정원에 따르면, 침입방지시스템, 침입탐지시스템, 가상사설망, 지문인식시스템, 스팸메일차단시스템, 보안토큰, 무선랜인증시스템 등 9종의 평가 등급이 최고 EAL4에서 EAL3, EAL2로 하향 조정된다. 물론 높은 보안 수준이 요구되는 경우에는 더욱 강화된 등급이 적용돼 침입차단시스템은 EAL3+에서 EAL4로 상향 조정되고, 전자여권과 스마트카드플랫폼 등은 EAL4+ 수준이 유지된다.
이러한 조정을 통해 평가 시 요구되는 제출물이 간소화돼 평가기간을 단축돼 평가 적체 현상 해소에 기여할 수 있을 것으로 국정원 측은 기대했다. 아울러 국정원은 정보보호 업체가 구비해야 할 서류도 17건에서 11건으로 간소화함과 동시에 국내용 인증 평가의 경우, 핵심 보안기능을 중심으로 샘플링 기법을 수행하고, 평가기관의 작성 목록도 8종에서 4종으로 간소화해 인증 수행 시 걸리는 시간을 최소화하기로 했다.
“제출물 간소화에 따라 EAL3 수준의 국내용 인증의 경우, 3000페이지에 달하는 기록물 작성이 900페이지로 축소돼 평가기간을 현재의 6개월에서 3개월 이내로 단축시킬 수 있을 것”이라고 국정원 측은 설명했다. 이를 통해 정보보호제품의 평가기간을 평균 3.5개월로 단축한다는 것이 국정원의 목표다.
민간 평가기관, 평가팀 확대 ‘약속’
이번 발표가 현실화된다면 보안 업계의 가장 큰 민원사항이었던 인증적체 현상은 상당수 해소될 수 있을 전망이다. 제출물 간소화 등에 따른 수행기간이 단축으로 평가인증 계약부터 실제 인증서 발급까지 걸리는 시간이 대폭 짧아질 것이기 때문이다. 국정원 측은 국내용 인증의 경우, 인증 적체 현상을 고려하더라도 평가기간 단축을 통해 인증계약부터 인증서 발급까지의 시간이 EAL3 등급을 기준으로 현재의 13개월 수준에서 8개월까지 단축될 수 있을 것으로 예상하고 있다.
한국산업기술시험원(KTL)과 한국시스템보증(KOSYAS) 등 민간 평가기관들도 인증 평가팀을 확대, 적체현상 해소에 힘을 보탤 것을 약속했다. KTL, KOSYAS 등이 평가기관 면허를 부여받아 민간평가를 진행하고 있었지만, 지난 3월 말까지 1~2개의 평가팀이 운용돼 적체 현상 해소에 기여도가 미미했던 것이 사실. 하지만, 이들은 2009년까지 평가팀을 대폭 확대해 인증적체 현상 해소에 적극 기여하겠다는 의사를 밝혔다. 이러한 방침에 따라 4월 KTL와 KOSYAS는 모두 평가반을 3개로 확대한 상황이다. KTL은 오는 9월까지 평가팀을 5개로 확대할 방침이며, KOSYAS는 2008년까지 4~5개의 평가팀을 운용하고, 2009년에는 이를 6개로 확대한다는 계획을 발표했다.
더불어 보다 원활한 인증작업을 위한 인증 컨설팅과 인증 절차 및 방법에 대한 교육을 적극적으로 운용, 보다 효율적인 인증 작업이 이뤄지도록 할 계획도 아울러 발표됐다. 인증 컨설팅은 ▲제출물 등 인증평가 문서작성 ▲인증 모의 평가 ▲기능 및 테스트 평가 등으로 이뤄진다. 이러한 인증 컨설팅을 통해 평가 신청 이전 오류를 수정할 수 있도록 해 실제 인증평가 시에서 오류를 최소화, 평가에 소요되는 시간을 최소화할 수 있다는 것이다. KTL 등은 활성화를 위해 인증 컨설팅을 수행받은 기업들에게는 우선순위를 부여할 계획 이다.
국정원 또한 평가인력을 탄력적으로 운용할 수 있도록 허가해 평가인력 부족 문제를 해결하고, 평가반 확대가 가능하도록 지원하는 동시에 인증 컨설팅 활성화를 위한 방안도 마련해 적체 현상 해소를 적극 지원한다는 방침이다.
한편, 국정원은 CCRA 가입에 따른 효과 극대화를 위해 2010년 정보보호제품 평가인증 제도를 국제 CC로 일원화하겠다고 밝혔다. 인증 적체 현상으로 인해 국내에서는 CC인증과 동일한 수준의 지위를 부여받는 국내용 인증서를 지난 2007년 발급했지만, 적체 현상이 해소될 2010년에는 국내용 인증 제도를 폐지, 국제 CC에 힘을 싣겠다는 것. 이는 국내 정보보호 제품의 국제 표준화를 가속화, 국산 보안 솔루션의 해외 진출을 돕겠다는 CCRA 가입의 당초 취지를 살리겠다는 의미로 해석된다.
개선방안 실효성 ‘논란’
인증평가 방안과 보안성검증 변화로 신제품 출시 이후 공공기관 공급까지 걸리는 시간이 대폭 단축될 전망이다. 현재 신제품 도입부터 공공기관 도입까지 걸리는 시간은 인증 적체 현상으로 인해 약 2년(행정안전부 집계로는 총 19개월)에 달해 정보보호 업계의 가장 큰 애로사항으로 떠오른 상황이다. 대기 수요가 넘치면서 신청이후 평가계약까지도 상당한 시간을 기다려야 함은 물론, 평가계약 이후에도 1년이 넘는 시간이 요구됐다.
실제로 웹 방화벽 분야를 보면, 2006년 2월 인증계약을 체결했던 트리니티소프트의 ‘웹스레이’ 2007년 5월 CC인증이 부여됐으며, 펜타시큐리티시스템의 ‘와플’은 2006년 8월 인증계약이 체결됐지만, 인증완료 시점은 2008년 1월이었다. 계약부터 실제 인증까지 1년 반 가량이 소요된 것이다.
여기에 CCRA 가입 이후 보안적합성 검증의 원칙이 CC인증 제품으로 한정되면서 보안적합성 검증에 소요되는 3~4개월을 더하면 제품 출시부터 공공기관 공급까지 걸리는 시간이 약 2년에 가깝게 된다. 트리니티소프트의 경우, 보안적합성 인증이 이뤄진 기간은 2007년 9월이었다.
이번 조치로 보안적합성 검증이 先도입 後검증으로 변화하면서 3~4개월의 시간을 단축하는 가시적 효과가 나타남은 물론, CC인증 시 프로파일 개정과 등급조정, 제출물 간소화, 평가반 확대 등에 따라 적체 현상은 크게 완화될 수 있을 것으로 전망된다. 제품 출시 이후 2년에 가까운 시간 동안 공공시장을 포기해야 해 어려움을 겪던 정보보호 업계에 숨통이 틔워질 수 있을 만한 조치다.
최초 개발 이후 약 2년이 지난 제품으로 매일매일 새롭게 발전하는 위협에 대응하기는 어려운 것이 사실. 따라서 이러한 평가·인증기간 단축은 공공기관의 입장에서도 최신 제품 도입으로 기관의 보안 수준을 높일 수 있는 효과가 있을 것으로 기대된다.
인증평가 기간, 6개월 이내 단축
제도 변화에 따라 공공기관 일선 담당자들의 부담은 상당하다. 개선안에 따라 검증필 목록이 폐지되면 보안 솔루션 도입에 대해 도입 기관이 무한 책임을 갖게 되기 때문이다.
제도개선 설명회에서는 국정원 담당자가 “보안 솔루션 도입을 국정원 측에 알리지 않고(보안적합성 검증 없이) 사용하던 가운데 사고가 발생케 되면 이는 전적으로 도입 기관, 사고발생기관이 책임질 부문이 된다”고 솔루션 선정에 각별한 주의를 기울일 것을 요청하기도 했다.
그러나 보안이 100%를 자신할 수 없는 분야인 만큼 무한 책임에 대한 부담감은 높아질 수밖에 없는 것이 사실이다. 한 관계자는 “개선안에서 국정원은 실사 이후 지적만 하면 된다. 책임은 일선 기관의 담당자에게 넘기고, 국정원은 권한만을 유지·확대하는 것”이라고 꼬집기도 했다.
또 일선 담당자들은 국정원 보안성검증에서의 지적사항에 대해 공급 벤더가 반발할 경우에서의 대응 방안, 추가 제품 도입이 지적될 경우의 예산확보 문제 등에 대해서도 우려도 전했다. 이는 국정원이 진행한 ‘인증평가 제도개선 설명회’에서도 제도 변화에 따라 발생할 수 있는 문제점으로 질의가 쏟아졌던 부문이다. 국정원 측은 “세부 추진과정에서 반영하겠다”고 답했지만, 아지까지 이에 대한 세부 사항은 나오지 않고 있다. 국정원 발표 이후 약 3주 후 발표된 행안부의 개선사항 발표에서도 이 부문에 대한 언급은 없었다.
다른 기관들의 반발도 있다. 검증필 목록이 폐지되고 실망 점검 위주로 보안적합성 방식이 변경되면 국가정보원은 각급 기관의 내부망을 들여다볼 수 있게 된다. 하지만, 기관들은 “국정원이 왜 우리 기관의 전산망 구성을 속속들이 알아야 하는지 이해할 수 없으며, 기관의 전산망 구성이 외부(국정원)에 공개되는 것이 보안 원칙에 위배되는 것이 아닌가도 의문이다”며 반발하고 있다.
국정원 발표를 보충하는 성격으로 행안부는 4월 21일 ‘중소보안기업을 위한 IT 규제개혁 방안’을 발표했다. 행안부에 따르면, 이는 행안부와 국정원, KISA 등 3개 기관이 협의한 결과다.
행안부 발표에서는 간소화를 위한 방안이 보다 세부적으로 명시된 것이 진전사항으로, 신청업체의 제출서류가 17종에서 10종으로 줄어들면서 3천900여 페이지에 달하면 제출서류가 2천 페이지로 감소했으며, 평가항목도 88개에서 48개로, 기능평가 항목은 35개에서 8~9개로 감소하는 등의 내용이 들어 있다. 아울러 평가인력을 현재 40명에서 50명으로 증원하는 한편, 2인 1개반으로 운영되는 평가반 운영 규정을 2인 3개반으로 탄력 운용할 수 있도록해 현재 17개 평가반을 27개로 확대할 방침도 포함됐다.
이를 통해 행안부 측은 대기기간이 현재 7개월에서 2개월까지 단축될 것으로 행안부 측은 기대했다. 전체적으로는 19개월이 소요되는 평가기간이 2008년 9월부터 10개월로 단축하고, 2009년부터는 6개 이내로 줄어들게 된다. 대기기간이 줄어들게 돼 보안 기업들은 보다 원활한 사업수행이 가능할 것으로 전망된다.
보안성 논란에 보안기업 ‘없다’
3개 기관의 합의가 있었다는 관계자의 언급처럼 전체적인 틀은 국정원 방침과 동일했지만, 기관간 이견의 핵심사항이라고 할 수 있는 실망 검증에서는 차이가 있었다.
발표 직후 행안부 측과의 질의응답에서 행안부 측은 “보안적합성 부문은 합의 중이기는 하지만, 실망 검증은 오해”라면서 “제품에 대해 적합성을 사전 검증이던 것이 사후 검증으로 변화되는 것일 뿐 제품에 대한 평가가 아닌 실망검증으로 오는 것은 아니다”라고 설명했다.
하지만, 이는 국정원 측의 견해와는 다르다. 행안부 발표 이후 국정원 관계자와의 전화 통화에서 이 관계자는 “보안 적합성은 실망 검증으로 진행하는 것이 맞다”고 재차 확인했다. ‘오해’라는 행안부 관계자의 언급과 ‘실망검증’이라는 국정원 관계자의 언급을 비교하면, 이 부문에서 양측의 견해가 좁혀지지 않고 있는 것이다.
행안부 발표 3주 전 진행된 국정원의 인증평가 개선방안 발표 시 행안부 측은 사전 협의 없이 국정원 단독으로 진행된 것과 더불어 특히 실망 검증 부문에 대해 거세게 반발했다는 후문이다. 정보화전략실 정보보호정책관 하에 보안정책과, 개인정보보호과, 전자인증과, 정보문화과 등을 갖추고 사실상 정보보호 주무부처 역할을 수행하고 있는 행안부는 국가통합전산망 관리는 행안부 고유 업무라는 점에서 국정원의 실망 검증 방안에 반대하고 있다고 전해진다.
다른 한편으로 평가기간 단축 및 항목 축소는 곧 보안 수준 및 범위 축소를 의미하는데, 이러한 축소로 국제기준에 준하는 평가를 수행할 수 있는가에 대한 의문도 일각에서 제기되고 있다. 정보보호 업계의 애로사항 해결을 위해 평가기간 단축은 필요하지만, 간소화가 보안성 저하나 인증의 신뢰성 하락으로 이어져서는 안 된다는 것이다.
이러한 논란에 정보보호 업계는 우려를 표시하고 있다. 개선안의 큰 방향은 발표됐지만, 세부 시행 방안이 도출되지 않아 업계 혼란이 예고되고 있기 때문. 실제로 개선안에 따르면 검증필 목록은 4월 중 폐기돼야 하지만, 세부 시행방안 혼선에 따라 아직도(4월 21일 현재) 존속되고 있으며, 검증필 제품 발표도 이어지고 있다. 이는 곧 단계별 개선방침의 1단계가 전혀 이뤄지지 않고 있음을 의미한다고 할 수 있다.
무엇보다 문제는 보안 인증평가 제도 개선에서 보안 업계가 전혀 고려되지 않고 있다는 점이다. 붕어빵에 붕어가 들어가지 않는 것은 당연하지만, 보안 이슈에 보안 기업이 전혀 고려되고 있지 않다는 것은 국내 보안 산업 황폐화라는 심각한 결과를 가져올 수 있다.
한 업계 관계자는 “개선안과 관련된 논란은 정부기관 간 힘겨루기의 측면이 있는 것 같다”면서 “이번 개선안의 큰 틀은 인증적체 현상의 해소이며, 적체현상에 따른 문제점은 행안부와 국정원 모두 공감하고 있는 만큼 하루빨리 기관간 협의를 이뤄내 업계 혼란을 해소해야 할 것”이라고 희망했다.
