지식경제부가 야심차게 발표한 ‘지식정보보안산업 종합 진흥계획’에 대해 업계는 환경하면서도 실질적 효과에 대해서는 의문을 제시했다. 특히 품질인증 제도 신설에는 의문을 넘어 우려를 제시하는 의견도 많았다.
지경부에 따르면, 지식정보제품 품질인증 제도는 CC인증의 한계를 보완하기 위해 신설되는 것이다. CC 인증은 보안성만을 평가, 제품의 성능과 품질은 담보되지 않는다는 것이 지경부의 설명이다. 또 품질인증 제도는 브랜드 인지도가 낮은 국내 보안 기업의 해외 진출 시 인지도 제고를 위한 것으로 해외 수출 품목에만 적용된다고 지경부 측은 전했다.
그렇지만 상당수 업계 관계자들은 “품질제도 신설이 완화되던 국내 보안 시장의 인증 혼란을 다시 야기시킬 수 있다”고 우려를 표시했다. 국내 정보보안 시장은 기존 K4 인증에서 CC인증으로 제도가 변화하면서 평가제품의 몰림현상으로 인한 평가적체로 홍역을 치룬 바 있다.
이와 관련 국내 A사 K 모 사장은 “CC인증 제도가 정착돼 가는 과정에서 새로운 인증제도의 출현은 인증에 대한 혼란을 가져올 것”이라며 “수출 제품을 대상으로 한다고 해도 인증 획득을 국내 경쟁우위로 삼으려는 기업이 있을 것으로 또 한 차례의 인증경쟁이 발생할 수 있다”고 경고했다.
네트워크 보안 기업 B사의 인증담당 L 모 부장은 “인증이 중시되는 국내 상황 상 인증제도의 신설은 필연적으로 인증 경쟁을 가져온다”며 “인증을 위해서는 인력과 비용이 추가되는 만큼 대부분 영세한 국내 보안 기업들에게 부담으로 작용할 것”이라는 문제점을 제기했다.
C사의 M 모 마케팅 이사는 “품질인증이라면 현재 GS인증으로도 가능하다”면서 “이번에 신설되는 품질 인증과 GS인증과의 차별점을 현재로써는 알기 어렵다”고 말하기도 했다.
이에 대해 지경부 측은 “해외 진출을 업체 대부분은 인지도 개선을 위해 국가기관의 품질인증 제도를 희망한다”며 “세부안을 현재 마련되고 있지만, 비용적인 부문과 관련해서는 이미 예산이 확보돼 무료로 인증을 진행할 수 있어 업계의 비용부담은 최소화될 것”이라고 해명했다.
하지만 업계의 반응은 호의적이지는 않다. 품질인증이 무료로 전개되더라도 이를 위한 준비과정에 업계는 인력과 비용을 지불해야 하기 때문. 김 모 사장은 “인증이 무료라면 비용은 다소 줄어들겠지만, 인력의 추가 채용이 필요할 수도 있다”면서 “보다 더 내용을 살펴야 겠지만 인력부족을 느끼는 중소기업의 입장에서 그리 환영할 만한 일은 아니다”라고 밝혔다.
다른 한편으로는 인증의 신뢰성을 제시하는 관계자도 있었다. D 사의 N 모 과장은 “CC인증의 경우에도 공공기관 공급을 위해 획득하고 있지만, 기술 변화가 빠른 정보보안 분야에서 인증기간을 포함하면 최소 6개월 이전 버전에 발급되는 CC인증이 현재 보안성을 100% 담보한다고 보기도 어렵다”라고 지적하면서 “품질인증의 경우에도 신뢰성 확보가 쉽지 않다”고 부정적 의사를 표시했다.
보안인식 개선 조치 선행 필요
인증제도 외에도 보안 업계는 다소의 아쉬움을 나타냈다. 시장 확대를 위한 정부의 노력은 환영할 만한 일이지만, 국내 보안산업의 근본 문제 해결을 담은 방안은 아니라는 의견이다.
예를 들어 인력부족의 경우, 인력 양성만으로는 해결되지 않는 문제. 업계 관계자들은 이구동성으로 수급보다 고급인력의 유출이 더욱 문제라고 말한다. 유출을 막기 위해 영세한 보안 산업 구조 변화, 보안 산업에 대한 비전이 먼저 제시돼 인력 유출을 방지할 수 있어야 한다는 것이다.
물론 이번 진흥정책에서도 장밋빛 비전은 제시됐다. 하지만, 궁극적으로 국내 보안 산업을 육성시킬 수 있는 정책이라고는 보기 어렵다. 기반시설 확대의 경우, 일부 수요를 창출하겠지만, 업계 전반적 파급효과를 미치기는 힘든 부문이다.
국내 보안 산업의 성장을 위해서는 기업의 보안 경시 풍조를 변화시킬 수 있는 법·제도의 강화가 가장 시급한 일이라는 것이 전문가들의 중론. 보안 사고에도 솜방망이 처벌이 되풀이되는 현재의 제도로는 전사회적 보안 강화를 이끌어 내기는 어려운 부문이다.
지난달 방한한 EMC RSA의 아트 코비엘로 사장은 “정부 담당자들은 128비트 암호화 등 기술적 사항을 잘 알지 못하며, 또 빠르게 변화하는 기술을 수용할 수 없다. 기술적 사항에 대한 규제보다는 베스트 프랙티스를 마련해 이를 수행하지 않는 기업을 규제하는 것이 더욱 적절하다”며 “베스트 프랙티스에 따르지 않는 기업에 대해 과징금을 부과할 때 기업 경영진은 보안 강화에 적극적으로 나설 수밖에 없다”고 지적했는데 이는 국내의 전반적 보안 강화, 나아가 국내 보안 산업 발전을 위해 귀담아 들을 만한 의견이다.
이와 관련, 한 관계자는 “이번 진흥정책은 보안 미비 기업에 대한 강력한 규제를 통해 국내 보안 시장 자체가 성장할 때 의미를 가질 조치”라고 말하면서 “전사회적 보안 강화에 대한 조치가 보다 먼저 선행돼야 한다”고 밝혔다.
