[취재수첩] 장사하기 힘든 공공 정보보호 시장 2009년 05월 28일 6월 1일부터 정보보호 제품 보안성 검증제도가 다시 변경, 시행된다. 이번에 변경된 제도 자체는 그동안의 혼란이나 업계의 부담을 해소시키는 방향이어서 그나마 다행이다. 그런데 이 제도 적용 시점에 맞춰 정보보호 제품의 조달계약 방식도 대폭 바뀔 조짐이어서 또다른 파장이 예상되고 있다. 정보보호 제품 보안성 검증제도가 바뀌면 국가기관 도입절차, 조달구매제도까지 맞물려 변경된다. 국제공통평가기준(CC), 암호모듈검증제도 등 각종 보안성 검증제도를 시행하는 취지와 목적이 국가기관의 안전성을 높이기 위한 것이라 어쩔 수는 없지만, 최근 몇 년 동안 계속 관련 제도가 너무 자주 바뀌면서 주기적으로 혼란이 발생하고 있다. 국가정보원은 올해 6월부터 보안적합성검증필 제품목록을 폐지하고 국가·공공기관에 납품되는 모든 정보보호 제품이 국제공통평가기준(CC)인증을 받아야 한다고 재작년부터 예고해 왔다. 지난 연말에는 정보보호 제품 중 암호기능을 구현한 제품은 국가정보원 암호모듈 검증을 받거나 검증필 암호모듈도 탑재해야만 납품할 수 있다고 발표했다. 그 때문에 업계의 부담이 컸고, 어떤 제품군이 암호검증 대상인지도 명확치 못해 혼란스러운 분위기였다. 6개월 만에 이번 정책이 새로 발표되면서 일부 업체들은 황당한 상황이 벌어졌다. 하지만 CC인증과 암호모듈 탑재 및 국가용 암호제품으로 지정받아야 하는 대상이 확실하게 가려졌고, 둘 다 받아야 하는 대상도 정해져 더 명확해졌다는 평가다. 암호모듈 검증과 CC인증을 모두 받아야 했던 업체들도 앞으로는 예상보다 인증이나 검증 공수가 줄어들게 됐으니 위안을 삼고 있는 모습이다. 보안성 검증제도 변경 혼란은 정작 조달계약에서 발생할 것 같다. 바뀐 국정원 정책 반영 시점인 6월 1일부터 조달청은 지난 2005년부터 시행해온 다수공급자 물품계약(MAS)제도를 정보보호 제품에도 전면 시행할 예정이기 때문이다. 국정원 정책에 따라 다수공급자 물품계약 조건은 CC인증을 받았거나 5월 말까지 CC평가계약을 체결하는 제품, 또는 국정원이 지정한 국가용 암호제품만 유효하게 된다. 그런데 CC인증이나 CC평가계약을 체결한 동종제품이 3개가 안되면 나라장터에 등록할 수 없게 된다. 남들보다 발빠르게 CC인증을 받았어도 어차피 조달 등록은 할 수 없다. 공공기관과 직접 계약할 수 있는 수의계약 조건에도 CC인증 또는 국가용 암호제품 지정제품이면서 GS인증을 받은 제품으로 한정된다. 기존 행정정보보호용 제품의 경우에는 수의계약이 아니라 다수공급자 물품계약만 체결할 수 있어, 수의계약 방식을 원하는 정보보호 업체는 CC인증 등 보안성 검증 외에 GS인증까지 의무적으로 받아야 한다는 계산이 나온다. 그럼에도 아직까지 조달청은 이같은 지침을 제대로 통보하지 않고 있다. 기존 제3자단가계약기간이 만료된 제품 공급업체나 문의가 온 경우에만 알려주고 있다. 국가·공공기관을 대상으로 장사하는 정보보호 업체는 참 힘들겠다는 생각밖에 들지 않는다.
조회 : 807
