정보보호제품 인증제 사각지대를 해소하기 위해 도입한 신속확인제가 시행 1년간 5건의 실적을 기록하며 유의미한 성과를 낸 것으로 나타났다. 올해는 현장 혼선을 줄이기 위해 체크리스트를 만들어 정보보호기업 자체적으로 신속확인제 대상 여부를 판단하도록 돕는 등 제도를 개선할 방침이다.
4일 과학기술정보통신부와 한국인터넷진흥원(KISA) 등에 따르면, 2022년 11월 시행한 정보보호제품 신속확인제를 통해 지난해 11월 초까지 1년간 총 5개 제품이 인증을 받았다. 지난해 4월 신속확인제 1호 제품인 에프원시큐리티 'F1-웹캐슬'을 시작으로, 5월 SGA솔루션즈(브이이지스), 9월 프라이빗테크놀로지(패킷고), 10월 소프트캠프(실덱스 리모트 브라우저), 11월 아톤(mOTP) 등이 신속확인제를 통과했다. 여기에 12월 베이스스톤(쿼아디안)까지 더하면 지난해에만 6건을 달성했다.
신속확인제는 신기술 및 융·복합 등 혁신 정보보호제품의 국가·공공기관 등 공공시장 진입을 열어 주기 위한 제도다. 신속확인제품은 국방 등 민감한 가급 기관을 제외한 나·다급 그룹에 편성된 기관에 보안적합성 검증 없이 도입이 가능하다. 이전엔 정보보호제품 유형별로 도입 기준이 정해져 있는 탓에 혁신제품의 경우 적정한 인증기준이 없어 공공시장 진출길이 사실상 막혀 있었다. 이 때문에 정보보호업계는 정보보호제품 보안체계 개선 요구 목소리를 높여왔었다.
업계 염원이 담긴 신속확인제는 초기부터 시장에 안착했다는 평가다. 국제 공통평가기준(CC인증)과 성능평가 등 유사한 제도는 시행 첫해 획득(통과) 실적이 1~2건에 불과했다. 2018년 시행된 성능평가의 경우 첫 해 윈스(스나이퍼 NGFW)가 유일하다. 두 번째 제품이 나오기까지 약 11개월이 걸렸다.
한 번에 적합 판정을 받지 못하고 보류 후 보완 과정을 거친 회사도 있었지만, 지난해 신속확인심의위원회에 올라온 제품은 모두 통과했다. 다만 현장에선 자사 제품이 신속확인제 대상 제품인지 판단하는 데 어려움을 호소했다.
이에 KISA는 올해 신속확인제 개선책 중 하나로 체크리스트를 제시할 계획이다. 이를 위해 국가용 보안요구사항에서 정의하는 34종의 제품유형 운용 환경과 보안요구사항을 분석하고 유사 항목별로 분류하는 작업을 벌인다. 체크리스트가 완성되면 정보보호기업은 이를 바탕으로 자사 제품을 판단할 수 있을 것으로 보인다. 예를 들어 기준 제품군의 체크리스크와 겹치는 항목이 적을 경우 신속확인제에 해당된다고 판단할 수 있다.
KISA 관계자는 “다른 인증과 비교해 시행 첫해부터 정착했다는 의미가 있고, 올 하반기부터 납품 실적도 나올 것”이라며 “정보보호기업이 자체적으로 신속확인제품 여부를 확인이 가능하도록 지원하기 위해 체크리스크를 만들려고 한다”며 말했다.
조재학 기자 2jh@etnews.com