국가정보원

국가정보원이 오는 11월부터 국가·공공분야 정보기술(IT) 보안제품 검증 절차를 완화하면서 국내 보안 업계는 환영과 동시에 우려의 목소리를 드러내고 있다.

그간 보안인증 비용이 높아 공공시장 진출에 어려움을 겪던 스타트업에게는 기회가 되지만, 외국계 기업도 공공분야에 도전할 것으로 보여 국내 기업의 텃밭이었던 공공 보안 시장이 흔들릴 수 있다는 관측이 나오면서다. 24일 업계에 따르면, 국정원은 내달 1일부터 국가·공공기관마다 다른 보안제품 적합성 검증 정책을 적용한다.

3만여 곳의 보안적합성 검증 대상기관을 중요도에 따라 '가·나·다' 세 그룹으로 나누고, 그룹별로 검증요건을 차등 적용한다.

여기서 '보안적합성 검증'은 국가·공공기관이 도입하는 방화벽·네트워크 장비 등 IT 보안제품의 안정성을 검증하는 제도를 말한다.공공분야에 제품을 공급하려는 보안기업은 국정원의 검증을 받아야 한다.

기존의 '보안적합성 검증' 제도는 국방부·방위사업청 등 중앙부처부터 일선 초·중·고등학교까지 똑같이 정책이 적용돼 비효율적이라는 지적이 몇년간 업계에서 잇따랐다.

내달 바뀌는 검증 제도는 크게 세 가지로 나뉜다.

먼저 '가' 그룹(전체 5%)은 기존 검증 정책이 그대로 적용된다. △중앙행정기관 △주요 기반 시설 관리기관 △국방부 소속·산하기관 △방사청 △경찰청 △주요 공공기관이 속한다.

다만 '나'그룹(전체 38%)은 검증 절차가 다소 간소화된다. △중앙행정기관 소중앙행정기관 소속·산하기관 △기타 공공기관 △대학교 등이 대상이다.

IT 제품 도입시 △보안기능확인서 △국내외 공통평가기준(CC)인증서 △성능 평가결과 확인서 △신속확인서 등 4개의 사전인증요건 중 하나만 제출하면 보안적합성 검증을 건너뛸 수 있다.

'다' 그룹(전체 57%)은 제품 도입시 자체 판단으로 사전인증요건을 자율 지정할 수 있고, 국정원과 사전 협의 없이 검증을 안 받아도 된다.

△중앙행정기관 산하 위원회 △기초자치단체·산하기관 △초·중·고 등 각급학교 등이 속한다.

이번 검증제도 개편에 보안업계는 크고 작은 보안기업들이 공공시장에 진출하면서 국내 보안 시장 생태계 자체가 커질 수 있다며 기대감이 크다.

그간 스타트업은 CC 인증 등 여러 보안 인증에 많은 시간과 비용이 필요하다는 점에서 공공시장 진출을 꺼려왔다.

보안업계 관계자는 "공공시장 분야에 집중해 매출 70~80%를 버는 기업이 여럿 있는데, 이럴 경우 다른 보안 기술을 연구하지 않는 경향이 강하다"며 "CC인증까지 최소 6개월, 최대 1년이 걸려 공공분야 진출이 어려웠던 소규모 기업들도 하나둘 뛰어들면 긴장감이 형성되고 이는 전세계 점유율 1%대도 안되는 '보안 생태계' 확장에 도움이 될 것"이라고 말했다.

특히 공공시장 경험이 없는 스타트업은 이 제도를 발판으로 해외 시장 진출의 기회를 확보할 수 있다는 긍정적인 시각도 있다.

또다른 업계 관계자는 "보통 해외 시장 진출을 할때 여러 레퍼런스를 가져가야 하는데, 공공 산업에 (제품을) 많이 팔았음을 증명하는 게 중요하다"고 말했다.

일각에서는 외국계 보안 기업의 공공분야 진출에 대한 진입장벽이 낮아진다는 점에서, 국내 기업의 공고한 입지가 변할 수 있다는 관측도 있다.

업계 관계자는 "외국계 기업이 파격적인 '가격할인 마케팅' 등 나름의 카드를 낼 경우 공공 시장이 외국계로 종속될 수도 있다는 우려가 나오고 있다"고 말했다.


woobi123@news1.kr