국내기업의 텃밭이었던 공공기관 정보보호 시장에 외산 솔루션이 대거 도입되면서 업계에 비상이 걸렸다.
특히 이들 외산 솔루션 대부분이 공공기관에 납품하기 위해 반드시 거쳐야 할 보안성 검토도 이루어지지 않은 상태에서 무분별하게 공급되고 있다는 점에서 충격을 주고 있다.
23일 관련업계에 따르면 올 들어 3곳의 지방자치단체와 공공기관 1곳이 외산 침입방지솔루션(IPS)을 도입, 구축했다. 또 현재 IPS 도입을 검토하고 있는 대부분의 지자체 및 공공기관도 국산 솔루션과 함께 외산제품의 벤치마크테스트(BMT)를 진행하고 있는 것으로 알려져 앞으로 공공기관의 외산 도입은 더욱 확대될 전망이다.
이 같은 움직임은 올 1월 1일부터 공공기관에 보안솔루션을 도입하기 위해 반드시 받아야 할 국내 인증인 K시리즈와 국제공통평가기준(CC)이 일원화되면서 해외에서 CC인증을 받은 외국 기업들이 그동안 사각지대로 남아 있던 공공기관을 적극 공략하기 시작한 데 따른 것으로 풀이된다.
그러나 CC인증을 받더라도 국내 공공기관에 납품하기 위해서는 별도로 국가정보원의 보안성 검토를 통과해야 하지만 아직까지 이 같은 절차를 받은 외국기업은 한 곳도 없는 것으로 확인돼 이에 대한 대책마련이 시급한 실정이다.
이에 따라 올 초 공공기관의 IPS 도입 계획에 맞춰 영업 계획을 세웠던 국내 보안 기업들도 심각한 타격을 입고 있다.
한상진 지모컴 사장은 “공공기관의 보안담당자 및 IT관리자들이 평가기준이 CC로 일원화된 후 이에 대한 정확한 숙지 없이 보안성 심의를 받지 않은 외산 솔루션을 무분별하게 도입하고 있다”며, “국가 중요 기밀을 다루는 공공기관 담당자들에게 평가기준 일원화의 의미와 보안 솔루션 도입 방법 등의 교육이 절실하다”고 지적했다.
김대연 한국정보보호산업협회장도 “공공기관 보안 솔루션 도입 프로젝트에 외산 기업들이 막대한 공세를 퍼붓고 있다”며 “이런 상황을 국정원에 알리고 협회 차원에서 대처 방안을 마련하고 있다”고 말했다.
이에 대해 국정원 관계자는 “국내에서는 CC인증을 획득하기 위해 보안성 검토과정을 반드시 거치기 때문에 해외에서 CC인증을 획득했다고 하더라도 공공기관에서 외산솔루션을 도입할 수 없다”며 “외산솔루션이 국내 공공기관에 도입되기 위해서는 국내에서 보안성 검토를 거쳐야 한다”고 밝혔다.
김인순기자@전자신문, insoon@