[정보통신신문=박광하기자]

국가정보원이 그동안 일률적인 기준을 적용하던 공공분야 IT보안제품 보안적합성 검증 대상기관을 중요도에 따라 '가·나·다' 3개 그룹으로 분류, 검증요건을 차등 적용하는 내용의 검증체계 개편안을 마련해 11월 1일부터 시행한다고 밝혔다.

IT보안제품 보안적합성검증 대상기관은 2022년 3월 현재 3만여개에 이른다.

보안적합성 검증이란 국가·공공기관이 도입하는 방화벽·네트워크 장비 등 IT보안제품의 안전성을 검증하는 제도로 국정원이 국정원법·전자정부법 등에 의거해 업무를 담당하고 있다.

검증체계 개편안에 따르면, '가' 그룹(전체의 5%)은 △중앙행정기관 △주요기반시설관리기관 △국방부 소속·산하기관 △방사청·경찰청 △주요 공공기관 등 국민 안전과 밀접하고 국가 중요시설을 관리하는 주요기관으로 기존 검증정책이 그대로 적용된다.

'나' 그룹(전체의 38%)은 △중앙행정기관 소속·산하기관 △기타 공공기관 및 각급 대학교 등으로 검증 절차가 다소 간소화된다. 제품 도입 시 △보안기능확인서 △국내·외 CC인증서 △성능평가결과확인서 △신속확인서 등 4개의 사전인증요건 중 하나만 획득해도 보안적합성 검증을 생략할 수 있다.

'다' 그룹(전체의 57%)은 △중앙행정기관 산하 위원회 △기초자치단체·산하기관 △초·중·고 등 각급학교 등으로, 제품 도입 시 자체 판단으로 사전인증요건을 자율 지정할 수 있고 보안적합성 검증도 생략할 수 있다.

그동안 IT보안업계 내부에서는 국가·공공분야 기관의 중요도가 다름에도 국방부·방위사업청 등 중앙부처부터 일선 초등학교까지 똑같은 보안검증 정책이 적용돼 비효율적이라는 지적과 함께 제도개선의 필요성이 제기돼 왔다.

이번 개편안의 자세한 내용은 국정원과 국가사이버안보센터 웹사이트의 '보안적합성 검증' 코너 공지사항에 게재된 '新 보안적합성 검증체계' 안내서를 통해 확인할 수 있다.

국정원 관계자는 "이번 개편안은 초연결·데이터 중심의 보안환경 변화를 적극 수용하고 규제 해소를 목적으로 한 만큼 업체·기관들의 그간 불편함과 부담감이 경감되길 기대한다"고 말했다.

한편, 과학기술정보통신부 또한 공공분야에 클라우드 서비스를 공급하기 위해 취득을 요구하는 '클라우드보안인증제도(CSAP)'를 3단계로 세분화하는 내용으로 관련 법규를 개정 중인 것으로 알려졌다.

클라우드 산업계에 따르면, CSAP 개편은 공공에 적용되는 CSAP 단계를 '상·중·하'로 구별하는 게 주된 내용이다. 3개 등급 중 대시민 분야 서비스 제공 등은 '하' 등급으로 지정되는데, 해당 등급에서는 물리적 망분리를 요구하지 않는다. 따라서, 해외 클라우드 사업자가 등급을 획득할 수 있어, CSAP 개편이 이뤄지면 해외 사업자의 공공 진출이 가능해질 것으로 보인다.

다만, 이 같은 등급제 시행은 해외 대형기업의 정보보호·클라우드 솔루션의 국내 진출을 촉진하게 돼 국내 관련 산업계의 발전에 부정적인 영향을 끼칠 수 있다는 우려가 나오기도 한다.

최근 국회 과학기술정보방송통신위원회의 과학기술정보통신부 국정감사에서 다수의 의원이 이종호 장관, 박윤규 제2차관에게 CSAP 개편이 이뤄지면 해외 사업자가 국내 클라우드 시장을 잠식하게 될 것이라고 지적하기도 했다.이 같은 지적에 대해 박윤규 차관은 "대민 기능이 있다고 해서 '하' 등급으로 분류하겠다는 계획은 아니다"라며 "지적한 부분은 면밀하게 살펴보겠다"고 답변했다.

정부의 공공분야 보안검증제도 완화 추진이 국내 산업계에 어떤 영향을 끼치게 될 것인지에 관해 시민들의 관심이 집중되고 있다.

박광하 기자 다른기사 보기