통신장비 보안 검증에 국내외 업체 모두 비상

정부가 주도하고 있는 네트워크 장비에 대한 보안인증 사업에 대해 외국 업체는 물론 국내 업체들까지 불편해하는 장면이 연출돼 주목된다.

정부 정책은 외국 업체들의 공공 시장 공략에 진입장벽이 될수도 있다는 점에서 기본적으로는 국내 업체들에게는 기회가 될 것으로 관측됐다.

그러나 뚜껑을 열어본 결과 국내외 업체 모두 까칠한 반응들이다. 국내 네트워크 장비 업체들은 보안성 심사를 위한 시간, 인력, 비용을 들여야 할 뿐더러 국산 장비 활성화와 관련해서도 실질적인 도움이 될지는 잘 모르겠다는 입장이다. 해외 업체들은 공공 시장에 외국 업체는 들어갈 수 없는 바리케이트를 치는 것 아니냐며 불편해 하는 모습이다.

지난해 미국 국가안보국(NSA)을 통한 전 세계 네트워크에 대한 도감청, 화웨이 기지국 장비를 통한 중국의 감시활동 의혹 등이 제기되면서 네트워크 장비에 대해 보다 높은 보안성을 유지해야 할 필요성이 높아졌다.

이에 따라 정부는 국내서 사용되고 있는 네트워크 장비에 대해서도 보안 검증을 받도록 하는 방안을 검토 중이다. 대상이 되는 장비는 L3 이상 스위치, 라우터, 인터넷전화(IP) 교환기 등이다.

국가보안기술연구소가 주도하고 있는 네트워크 장비에 대한 보안성 검증은 크게 보안적합성 심사, 공통평가기준(CC) 인증으로 나뉜다.

먼저 보안적합성 심사는 국내 업체 4곳, 해외 업체 7곳을 대상으로 진행 중인 것으로 알려졌다. 국보연은 해당 업체들에게 21개 보안 테스트 항목을 주고, 오는 4월까지 자체 검증을 해 올 것을 요청했다.

이를 통해 국보연은 네트워크 장비에 대한 보안 심사 기준을 마련하고, 오는 2016년을 목표로 보안 제품에 적용되는 CC인증까지 마련한다는 방침이다.

보안 산업의 경우 CC 인증은 공공 시장을 국내 업체들이 주도할 수 있는 발판이 됐다. CC인증을 받기 위해서는 소스코드를 공개해야 하는데 외국 업체들은 현실적으로 그러기가 어렵기 때문이다. 그런 만큼 네트워크 장비쪽에도 보안 인증이 적용되면 보안 시장과 유사한 경쟁 환경이 펼쳐질 것이란 관측이 있었다.

그러나 현실은 달라 보인다. 국산 네트워크 장비 업체의 한 임원은 회사 내부적으로 비상이 걸렸다며 21개 항목이라고 하지만 제품에 따라서 세부 항목까지 고려하면 몇 배가 될 수도 있고, 소프트웨어 한 두개를 고쳐서 되는 작업이 아니다라고 말했다.

보안 적합성 검증 자체가 만만한 일이 아니라는 것이다. 네트워크 장비에 대한 보안 적합성 검증은 보안장비, 솔루션 등을 도입하려는 공공기관이 먼저 신청한 경우에만 해당 내용에 대한 검증을 받을 수 있게 되어 있다. CC인증과는 달리 네트워크 장비 업체들이 먼저 신청을 할 수 없다.

앞에서 인용한 한 임원은 예를 들어 한국전력 같은 곳에 신규 개발 제품 공급계약을 맺었다고 하더라도 보안적합성 검증을 한전이 신청해야만 장비 공급사가 검증을 진행할 수 있다고 설명했다.

공공기관에 도입되는 보안장비나 솔루션은 보안적합성 검증필, CC인증 등 자격요건을 갖춰야만 실제 공급이 가능하다. 이에 대해 또 다른 국내 네트워크 업체 한 관계자는 기존에 웹방화벽에 대한 CC인증 경험이 있다고 하더라도 네트워크 장비에 대해 시간, 비용, 인력 투자 등에 대한 부담이 크다는 입장을 밝혔다.

현재 검토 중인 네트워크 보안적합성 검증의 경우 해당 회사의 소스코드 내역까지 볼 지, 그렇지 않을지에 대해서는 아직 확정된 사안이 없으나 현재로서는 소스코드까지 보지는 않는 쪽으로 방향을 잡고 있다. 이 때문에 국내 네트워크 장비 시장에서 높은 점유율을 차지하고 있는 해외 업체들도 기존과 달리 보안적합성 검증에 참여하고 있다.

외산업체들은 일단 국내 네트워크 보안 인증에 대해 시선이 곱지 않다. 결과적으로 기존 보안처럼 외국 업체들에게는 일종의 진입 장벽이 될 수도 있다는 것이다. 외국 네트워크 장비 업체 한 관계자는 국내 업체들이 글로벌 시장에 수출할 만큼 경쟁력을 확보하기 위해서라도 글로벌 스탠더드에 맞추려는 노력이 필요하다며 최근 정부의 움직임을 에둘러 비판했다.