금융보안원이 회원사를 대상으로 '공격표면관리(ASM)' 솔루션을 무료로 공급하면서 보안업계와 마찰을 빚고 있다. 공공 성격의 기관이 비용을 받지 않고 서비스를 제공함에 따라 스타트업 중심의 민간 시장을 잠식할 수 있다는 우려가 커지고 있다.
26일 업계에 따르면 복수의 금융사가 민간 기업과 추진하던 ASM 솔루션 도입 프로젝트를 중단한 것으로 확인됐다. 일부 사례에서는 ASM 업체에 제안요청서(RFP)를 배포하는 등 사업이 상당 부분 진전됐지만, 최종 백지화한 것으로 전해진다.
업계는 이 같은 프로젝트 중단의 배경으로 금융보안원의 무료 서비스 제공을 지목한다. 금융보안원이 지난해 12월부터 회원사를 대상으로 ASM 솔루션을 배포하면서 민간 솔루션 도입 필요성이 낮아졌다는 것이다.
ASM은 외부에 노출된 정보기술(IT) 자산과 취약점을 탐지·관리하는 서비스다. 최근 사이버 공격이 고도화되면서 금융권을 중심으로 수요가 빠르게 늘었지만, 금융보안원의 이 같은 움직임에 관련 시장이 위축된 분위기다.
특히 국내 ASM 시장은 스타트업이 주력하는 시장으로 이번 사태로 인해 보안 스타트업 업계가 입는 타격이 클 것으로 전망된다.
업계 관계자는 “금융보안원은 모의해킹의 경우 다수 인력이 투입된다는 이유로 유료로 제공하는 반면, ASM은 별도 비용 없이 공급한 점도 이해하기 어려운 부분”이라면서 “금융보안원이 무료로 솔루션을 공급하면 민간 기업은 기술력이 뛰어나더라도 경쟁에서 밀릴 수밖에 없다”고 지적했다.
금융보안원은 취약한 금융사를 지원하기 위해 ASM 솔루션을 개발·공급하는 것일 뿐, 민간 기업과의 경쟁이 목적은 아니라는 입장이다. 200여개 회원사 회비를 기반으로 운영되는 비영리 기관인 만큼 수익을 추구하지 않는다는 점도 강조했다.
금융보안원 관계자는 “ASM은 회원사 수요와 동의를 바탕으로 기획된 서비스”라며 “현재 별도의 비용을 부과할 계획이 없다”고 말했다. 이어 이 관계자는 “회비를 낸 기업들에게 제공하는 서비스인만큼 완전 무료로 볼 수 없다”고 주장했다.
금융보안원이 입찰을 통해 우수한 민간 솔루션을 선정한 뒤 회원사에 공급할 수 있었다는 지적도 나온다. 실제 한국인터넷진흥원(KISA)의 경우 필요에 따라 민간 보안 솔루션을 구매해 수요 기업에 공급한다. 금융보안원이 직접 솔루션 개발·공급에 나서면서 업계와의 충돌은 예정된 수순이었다는 설명이다.
전문가들은 보안 수준 제고라는 공익적 목적과 산업 생태계 보호 사이의 균형이 필요하다고 보고 있다.
염흥렬 순천향대 교수는 “금융사 보안 강화를 위한 금융보안원 역할도 중요하지만, 민간 시장에 미치는 영향도 함께 고려돼야 한다”며 “빠르게 변화하는 보안 시장에서 이 균형을 맞춰가는 것이 과제”라고 말했다.
박진형 기자 jin@etnews.com
