내년 발의될 예정인 정보보호산업진흥법안에 기존 국제공통평가기준(CC) 인증, 검증필암호모듈(CMVP), 보안적합성심사 등의 내용을 포괄하는 통합보안인증에 대한 내용이 포함된다.
정부 등 공공기관에 보안제품을 공급하기 위해 받아야 하는 인증이 하나의 플랫폼 속에서 상호인증이 가능하도록 상위 법안을 마련하겠다는 것이다.
17일 서울 여의도 중소기업중앙회에서 권은희 의원(새누리당) 주최로 열린 '정보보호산업 진흥을 위한 정책토론회'에 참석한 한국인터넷진흥원(KISA) 관계자들은 품질인증(가칭)이라는 제도를 도입해 기존 인증제도 중복으로 인한 문제를 해결해 나갈 계획이라고 밝혔다.
법안에 대한 실무를 담당하고 있는 강달천 KISA 법제연구팀장에 따르면 법안 중 제3장 정보보호산업 진흥기반 조성 제15조 품질인증 항목에는 미래창조과학부장관이 정보보호제품, 서비스 등의 편의성, 안정성, 신뢰성, 확장성 등 품질기준을 고시할 수 있도록 했다.
강 팀장에 따르면 품질인증은 여러가지 보안인증을 단일인증체계를 통해 관리하는 것을 목표로 한다.
이날 정보보호업체 대표로 근무하고 있는 패널 중 한 명은 민간보안업체 입장에서는 국가정보원이 관리하고 있는 CC인증을 받기까지 9개월~1년 정도 걸린다며 이밖에도 보안적합성 인증, CMVP 등을 모두 받으려면 외국 보안업체와 경쟁하기 힘든 지경에 이른다고 지적했다.
보안사업을 공격적으로 하려고 해도 여러가지 인증으로 인해 적절한 사업시기를 놓칠 수 있다는 것이다.
이 문제와 관련 지난달 12일 하태경 의원(새누리당) 주최로 열린 '정보보호산업 상생발전 정책세미나'에서는 일부 보안 업계 관계자들인 CC인증 대신 사후 인증을 받는 방안을 제안하기도 했다. 그러나 '보안제품'이라는 특수성 때문에 사후 인증을 아직 시기상조로 결론났다.
현재로선 보안업계 불편을 최소화하면서 인증제도를 통한 신뢰성을 확보하기 위한 대안으로 품질인증이 유력한 대안이 될 것으로 전망된다.
이날 법안 관련 정책토론회에서는 이밖에도 법안에 담겨야 할 구체적인 내용에 대해 여러가지 제안이 나왔다.
먼저 기존처럼 솔루션(기술)에만 의존하는 대신 보안 관련 서비스 부문을 활성화 시키는 내용이 법안에 담겨야 한다는 주장도 제기됐다.
원유재 한국산업기술평가관리원(KEIT) 정보보안 담당 CP는 올해 나온 통계에 따르면 우리나라 보안산업은 미국 대비 기술 격차가 1.61년, 기술수준은 80% 선이며, 중국은 미국 대비 기술 격차가 2.18년, 기술수준은 73%에 달한다고 말했다. 기술격차에서 우리나라는 중국보다 1년 정도 앞서지만 기술수준에서는 중국이 빠르게 뒤쫓고 있는 형국이다.
문제는 우리나라 보안산업이 유독 기술 의존도가 높다는 점이다. 원 CP는 보안산업 중 미국에서는 서비스 사업이 35%를 차지하고 있는데 우리나라는 15%에 불과하다며 6.25 사이버테러와 같은 해킹사고를 모두 막지 못했던 것도 기술에 대한 의존도가 너무 높았기 때문이라고 밝혔다.
현장에서는 몇 달 전, 몇 년 전에 만든 방어기술에 의존해 해킹에 대비하고 있는 실정이라는 것이다. 공격과 수비 사이에 간극을 보안관제, 보안서비스 등을 담당하는 사람이 관리할 수 있도록 해야한다는 것이다.
안성진 성균관대 교수는 서비스 부문 중 대학 인력양성과 연계해 정보감사를 활성화 시킬 필요가 있다고 강조했다. 기업, 기관이 예산을 제대로 썼는지를 확인하기 위해 회계감사가 존재하듯이 개인정보보호법, 정보통신망법 상 보안에 대한 사항들이 제대로 이행되고 있는지를 감사하는 전문인력을 키울 필요가 있다는 설명이다.
법안 자체에서 정보보호산업에 대한 정의를 보다 명확히 할 필요가 있다는 의견도 나왔다. 정보보안 뿐만 아니라 물리보안, 융합보안 등 영역을 모두 아우를 수 있는 진흥법이 돼야 한다는 것이다. 이장훈 지식정보보안산업협회(KISIA) 상근부회장은 물리보안 중 전 세계 50대 기업 중 9개가 한국 기업이라며 보다 포괄적으로 정보보호산업을 정의해야 한다고 말했다.
아직까지 법안에 대한 상세한 내역이 모두 공개된 것은 아니다. 강 팀장은 법안 초안을 마련됐으며 이 중 공개되지 않은 내용도 있다고 밝혔다.
관련기사
- 2014년 보안 위협..."자바 취약점 감소, 웹 공격 증가"2013.12.17
- 공공 SW도입시 보안 기준 강화...내년에 달라지는 것들2013.12.17
- 'CC인증 제도, 사후 인증은 시기상조"2013.12.17
- 국보연, CC인증사무국 역할 수행2013.12.17
해당 법안이 ICT 특별법 등과 중복되지 않냐는 질문에 권은희 의원은 ICT특별법은 큰 카테고리고, 그 안에 많은 분야가 있는데 꼭 필요하지만 참여가 저조하거나 특별히 그 법을 적용해야 할 필요가 있을 때 진흥법을 만들게 된다고 말했다.
현재 해당 법안은 내년 공청회 등을 거쳐 이르면 1월~2월에 발의될 것으로 예상된다.