공공기관 네트워크장비 보안적합성 검증제도 시행이 한 달 앞으로 다가오면서 글로벌 장비 업체를 중심으로 비상이 걸렸다. 10월 계약하는 장비부터 보안적합성 요구사항을 만족해야 하지만 상당수 업체가 촉박한 일정과 기능개발에 어려움을 호소하고 있다. 자칫 공공사업이 어려워질 수 있다는 위기감이 확산됐다.
3일 업계에 따르면 내달부터 스위치와 라우터를 도입하는 공공기관은 국정원에 장비 보안성 검증을 신청해야 한다. 국정원은 국가보안기술연구소(이하 국보연)을 통해 장비 보안성을 검증한다. 앞서 지난 7월 국정원과 국보연은 필수 27개, 선택 17개 총 44개 보안기능 요구사항을 확정해 발표했다.
국정원은 지난해 9월부터 21개 최소 보안기능 요구사항을 중심으로 시범검증 작업을 진행해왔다. 하지만 업계는 최종 요구사항이 발표된지 두 달여밖에 되지 않았고 일부 항목은 변경, 추가됐기 때문에 현실적인 대응이 어렵다고 토로했다. 한 번 개발로 끝나는 게 아니라 장비별 버전에 맞는 소프트웨어를 수많은 이기종 장비와 연동해 테스트해야 하기 때문이다.
한 글로벌 장비업체 사장은 “여러 버전의 장비별로 관련 기능을 개발해야 하는데 본사에서 한국만을 위해 해당 기능을 개발해달라는 요구에 난감한 반응을 보이고 있다”며 “최종안이 7월에 나왔는데 두 달 만에 해당 기능을 개발하기란 사실상 어렵다”고 지적했다. 그는 다른 업체가 제도 시행 연기를 요청했지만 받아들여지지 않았다고 덧붙였다.
장비에 필요한 보안 기능을 하나 개발해 적용하려면 테스트 기간까지 최소 6개월 이상이 필요하다는 게 업계 주장이다. 일부 업체는 본사에 의뢰해 준비하고 있지만 당장 10월부터 대응은 어렵다는 게 공통된 입장이다.
다른 글로벌 업체 관계자는 “일단 제도와 기능 요구사항은 확정됐지만 아직도 뒷받침돼야 할 사항이 많다”며 “가령 수억원짜리 라우터나 스위치를 대전까지 가져가 테스트할 경우 운반과 보관 과정에서 발생하는 장비 파손이나 도난 등의 문제는 아무도 책임질 곳이 없다”고 말했다.
이 관계자는 “업계가 원하는 것은 유예 기간을 좀 더 두고 대응할 수 있는 시간을 달라는 것”이라며 “업체마다 장비나 사업 특성이 다 다른데 좀 더 융통성 있는 방안을 고민해줬으면 한다”고 말했다.
그는 국보연을 오가며 많은 논의를 했지만 10월 추진 일정에는 변함이 없다는 입장만 확인했다고 털어놨다. 10월 이후 적합성검증을 받지 못한 장비의 처리 방안에 대해선 아직 명확한 답을 듣지 못했다는 설명이다.
또 다른 관계자는 “아직 10월이 되지도 않았는데 벌써부터 보안적합성 검증을 통과한 제품을 요구하는 RFP가 나오고 있다”며 “궁극적으로 우리나라가 국제상호인정협정(CCRA)에 가입돼 있는데 왜 별도의 제도를 추가로 만들었는지 다시 논의해봐야 한다”고 말했다.
국정원은 2016년부터 네트워크장비에 국제공통평가기준(CC인증)도 의무화할 예정이다. 아직 소스코드 공개 여부는 확정되지 않았지만 업계는 해외 장비 진입을 막는 장치로 보고 있어 당분간 논란이 계속될 전망이다.
안호천기자 hcan@etnews.com
