【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]보안업계, “인증제 맹점 틈타 외산 공공도입”…데이터·보안 주권 우려

온카뱅크관리자

2025-10-19 15:57:29

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="YGE8epIkEg">
 <figure class="figure_frm origin_fig" contents-hash="b7a5163417799080df95fa24680a2c98da440b17479dc3bca1adb1b590857d29" dmcf-pid="GHD6dUCEIo" dmcf-ptype="figure">
 <img alt="지난 17일 오후 서울 송파구 IT벤처타워 한국정보보호산업협회 사무실에서 열린 '외산 보안제품의 공공시장 공급 관련 긴급 회의'에서 참석자들이 '소버린 시큐리티' 중요성에 대해 논의하고 있다. 이 자리엔 조영철 KISIA 회장, 배환국 수석부회장, 김진수 자율보안협의체 의장(수석부회장), 문성준 감사, 이동범 명예회장, 이민수 고문, 최영철 SGA솔루션즈 대표, 김일용 앤앤에스피 대표, 이정아 라온시큐어 대표, 정은아 수산아이앤티 대표, 김태화 엑스게이트 부대표, 전수근 안랩 공공영업본부장, 박윤현 정보보호정책연구소장, 배중섭 상근부회장이 참석했다. (한국정보보호산업협회 제공)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/19/etimesi/20251019155050407xsqd.jpg" data-org-width="1400" dmcf-mid="ywBvXc4qIN" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/19/etimesi/20251019155050407xsqd.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 지난 17일 오후 서울 송파구 IT벤처타워 한국정보보호산업협회 사무실에서 열린 '외산 보안제품의 공공시장 공급 관련 긴급 회의'에서 참석자들이 '소버린 시큐리티' 중요성에 대해 논의하고 있다. 이 자리엔 조영철 KISIA 회장, 배환국 수석부회장, 김진수 자율보안협의체 의장(수석부회장), 문성준 감사, 이동범 명예회장, 이민수 고문, 최영철 SGA솔루션즈 대표, 김일용 앤앤에스피 대표, 이정아 라온시큐어 대표, 정은아 수산아이앤티 대표, 김태화 엑스게이트 부대표, 전수근 안랩 공공영업본부장, 박윤현 정보보호정책연구소장, 배중섭 상근부회장이 참석했다. (한국정보보호산업협회 제공)
 </figcaption>
 </figure>
 국내 정보보호산업계가 최근 외산 정보보호제품의 공공시장 공급과 관련해 우려의 목소리를 냈다.
 외산 제품이 국가정보원의 보안적합성 검증제도를 충분히 거치지 않고 공공기관에 도입될 수 있는 데다, 사후 검증에서 문제가 발생해도 별다른 조치를 취하기 어렵기 때문이다. 동일한 방식으로 외산 제품의 공공진입이 본격화될 경우 외산 확산과 시장 혼란이 가중될 전망이다.
 한국정보보호산업협회(KISIA) 산하 자율보안협의체는 지난 17일 오후 서울 송파구 IT벤처타워 KISIA에서 '외산 보안제품의 공공시장 공급 관련 긴급 회의'를 열고, 데이터 주권 및 보안 주권 위협, 역차별 등을 호소했다.
 자율보안협의체가 이번에 확인한 사례는 최대 137억원 규모의 '한국은행 망 분리 개선 시범이용 시스템 구축 및 운영 사업'이다. 외국계 기업인 팔로알토네트웍스의 제로 트러스트 보안 제품이 국가정보원 보안 검증을 남겨둔 채 한국은행에 공급됐다. 한국은행은 해당 사업에 대한 보안성 검토는 받았지만, 팔로알토네트웍스 제품에 대한 보안 검증은 도입 이후에 진행하기로 했다.
 국가·공공기관에 정보보호제품을 납품하려면 국정원 보안적합성 검증을 받아야 한다. 보안적합성 검증은 국내 국제공통평가기준(CC) 인증 또는 보안기능확인서를 획득해 어느 사이트나 공급할 수 있는 '사전 인증 제도'와, 해당 사업에 대해서만 '선도입 후검증'하는 사후 보안적합성 검증으로 크게 구분할 수 있다.
 그간 국내 기업은 정보보호제품을 대상으로 국내 CC인증이나 보안기능확인서를 받아 국가·공공기관에 공급해왔다. 국가·공공기관 등 수요기관이 국내 기업에는 사후 보안적합성 검토 대신 절차가 간편한 사전 인증을 요구하기 때문이다.
 반면 외국계 기업은 국내 CC인증이나 보안기능확인서를 받아야 하는 공공시장엔 관심을 두지 않았다. CC인증 등을 받으려면 국정원 요구 사항에 맞춰 '국내 맞춤형 제품'을 만들어야 하는데 한국 공공시장만을 위한 제품을 개발해야 할 유인이 없어서다.
 이번 사례는 한국은행이 '사후' 보안적합성 검증을 받는 방식으로 외산 기업에 길을 열어준 경우다. 사후 보안적합성 검증은 해당 사업별로 검증을 받아야 하지만, 발주기관들이 마음만 먹으면 이번과 같은 일이 얼마든지 벌어질 수 있다.
 박윤현 KISIA 정보보호정책연구소장은 “외국계 기업의 플랫폼화된 제품은 사전인증을 받으려면 2년 정도 장기간이 소요된다”며 “이번 팔로알토네트웍스 사례는 사후인증으로 이를 우회한 케이스”라고 설명했다. 
 <figure class="figure_frm origin_fig" contents-hash="4457bfd41f252e381e7150ba16c619843a37f325860661349d68c7685bb323f9" dmcf-pid="po2YtwQ9wQ" dmcf-ptype="figure">
 <img alt="지난 17일 오후 서울 송파구 IT벤처타워 한국정보보호산업협회 사무실에서 열린 '외산 보안제품의 공공시장 공급 관련 긴급 회의'에서 참석자들이 보안적합성 검증 제도에 대해 이야기를 나우고 있다.(한국정보보호산업협회 제공)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/19/etimesi/20251019155051782benw.jpg" data-org-width="1400" dmcf-mid="WFxFzlnQOa" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/19/etimesi/20251019155051782benw.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 지난 17일 오후 서울 송파구 IT벤처타워 한국정보보호산업협회 사무실에서 열린 '외산 보안제품의 공공시장 공급 관련 긴급 회의'에서 참석자들이 보안적합성 검증 제도에 대해 이야기를 나우고 있다.(한국정보보호산업협회 제공)
 </figcaption>
 </figure>
 사후 보안적합성 검증이 유효할지에 대해서도 의문이 제기된다.
 국정원은 '팔로알토네트웍스 제품이 보안적합성 검증을 받을 것'이라는 전제로 보안성 검토를 완료했다는 입장이다.
 문제는 팔로알토네트웍스가 보안 적합성 검증을 받지 않거나 검증을 통과하지 못하더라도 별도 조치를 할 수 없다는 점이다. 사이버안보업무규정(제9조)에 따라 한국은행이 해당사업의 보안성 검토 결과에 대해 이행했는지 여부를 확인하고 '권고'할 수 있을 뿐이다.
 IT 제품의 특성상 한번 설치된 제품을 다시 걷어내기는 어렵기 때문이다.
 김일용 앤앤에스피 대표는 “(통상) 한번 구축된 장비를 쉽게 철거할 수 없다”며 “보안성 검토 단계에서 확인했어야 할 사안”이라고 말했다. 사전에 검토를 철저히 했어야 한다는 의미다.
 가장 큰 우려는 이른바 '소버린 시큐리티' 문제다. 보안제품은 특성상 내부 시스템에 대한 장악력이 있는데 국가·공공기관에 외산 보안제품이 도입될 경우 데이터 주권이 위협받을 수 있다. 또 외산 보안 솔루션 의존도가 심화될 경우 보안 주권 역시 안전하지 못하다.
 김진수 KISIA 자율보안협의체 의장은 “AI 강국 도약을 위해 '소버린 AI'를 핵심 국가 전략으로 내세우고 있는 시점에서 '소버린 시큐리티'는 필수조건”이라며 “안전한 AI시대의 소버린 시큐리티를 위해 국가보안에 필수적인 정당한 보안적합성 검증제의 확립이 필요하다”고 말했다.
 이번 사례를 두고 국내 기업 역차별이라는 볼멘소리도 나왔다. 국내 기업은 공공시장에 납품하기 위해 시간과 비용을 들어 CC인증 등 인증을 취득·보유한다.
 전수근 안랩 공공영업본부장은 “안랩이 가지고 있는 31개 솔루션에 대한 CC인증 등을 유지하고 관리하는 데만 엄청난 비용과 시간을 소모하고 있다”며 “공공시장이 이대로 흘러가지 않도록 심도 있는 정책적 고민이 필요하다”고 말했다.
 이날 참석자들은 정보보호산업계 발전을 위해 신사업 투자 유도를 위한 정책기관의 역할, CC인증 제품 도입 기관에 경영평가 가산점 부여, 정보보호 컨플라이언스 재점검, 보안사고 발생 시 과징금 등 페널티 부과, 국내 기업 간 통합 레퍼런스 모델 개발 등을 제언했다.
 이동범 KISIA 명예회장은 “국내 기업은 글로벌 기업처럼 엄청난 자금력이 없기에, 인증(시장)이 없는 사업에 대규모 투자할 수 없다”며 “클라우드 사례를 반면교사 삼아 선제적으로 신기술 분야의 인증을 만드는 등 국내 기업이 신사업에 투자할 수 있는 환경을 조성하는 정책기관의 역할이 필요하다”고 말했다.
 조재학 기자 2jh@etnews.com
 </section> 
 </div> 
 Copyright © 전자신문. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기