[사설] 보안기능 확인제품 요약서 사안별 의무화 검토해야

그동안 정보보호산업계의 줄기찬 요구사항이었던 보안기능확인서 제품에도 시험결과 요약서가 발급된다. 공개 입찰, 공공 공급 등 경쟁시장에서 국제공통평가기준(CC) 인증 제품과 대등한 대우를 받으면서도 CC인증과 달리 요약보고서를 공개치 않아 형평성 문제뿐 아니라 '깜깜이 도입'에 따른 보안 신뢰성 저하 우려를 사 왔던 터다. 국가정보원이 보안기능확인서 제품에도 시험결과 요약서를 발급하도록 조치한 것은 업계 의견을 반영한 옳은 조치라 할 수 있다.

현행 법상 정부·공공기관이 정보보보 제품을 도입·설치·운영하려면 CC인증 또는 보안기능확인서를 받아야 한다. 두 인증 모두 법적 자격기준은 되지만 보안기능확인서 제품은 요약보고서를 첨부하지 않아도 됐다. 이에 따라 일부 회사나 보안제품의 경우, 인증 획득에 시간과 비용이 적잖이 드는 CC인증 회피 수단으로 보안기능확인서를 활용하는 측면도 분명히 있다.

이에 따라 일부 정부·공공기관 정보보호담당자들은 조달시장에서 보안기능확인서 제품의 요약서는 확인하지 못한 채 업체가 제공하는 광고 성격의 카탈로그만 훑어보고 도입하는 사례까지 빚어진 것으로 알려졌다. 만약 사후에 보안문제가 발생할 경우, 제품 요약보고서를 확인하지 못한 채 도입한 책임까지 져야 하는 상황이었다.

이같은 공공 보안 난맥상을 풀기 위해 국정원이 최근 보안기능확인서 신규 발급 아니라 기존 제품까지 확인서 발급 시험기관에 요청해 시험결과 요약서를 발급받고, 국가사이버안보센터 홈페이지에서 제품별로 확인할 수 있도록 한 것이다. 정부·공기관 정보보호 담당자들이 조금만 손품을 판다면 필요 제품의 요약서를 찾아보거나 요약서 발급 유무까지 확인할 수 있게 된 것이다.

아직 한계도 있다. 이번 조치는 의무사항이 아니라 자율적으로 요약보고서를 발급받도록 업무처리를 열어준 정도에 그치기 때문이다. 아직 인증 유효기간을 남겨둔 보안기능확인서 제품이 3350여개에 이르지만, 이들 제품이 요약서를 첨부해 공개할지는 자유의사에 붙여졌다.

따라서 정부·공기관 도입 금액(규모)이나, 정보보호 처리 대상자수 등을 기준으로 사안별로 요약서 공개를 의무화하는 방안도 고려할 필요가 있다. 현재 유통되는 제품 중 이 도입 기준에 해당할 경우 필히 요약서를 첨부하는 방향으로 조치를 강화해야 한다. 단 1개의 보안제품도 대형 보안사고를 일으킬 수 있는 만큼 더 엄격해져야 한다.

이진호 기자 jholee@etnews.com