[김관용기자] 국가정보원(국정원)이 내년부터 네트워크 장비에 대해 보안적합성 검증을 실시한다는 계획이어서 해외 네트워크 장비 업계를 중심으로 불만의 목소리가 나오고 있다. 자국의 보안성 검증을 이미 획득했음에도 국내에서 국정원의 새로운 보안적합성 검증을 또 받아야 한다는 것에 대한 문제제기다.
국정원은 정부부처와 공공기관이 도입하는 라우터, 스위치(L3 이상), 인터넷전화(IP)교환기 등 주요 네트워크 장비의 보안성 제고를 위해 내년 10월부터 보안적합성 검증을 의무화할 예정이다. 외산이든 국산이든 국정원의 보안적합성 검증을 통과한 장비에 한해서만 국가 및 공공기관에 공급할 수 있게 된다.
국정원은 이미 네트워크 장비에 대한 검증 기준을 마련, 지난 9월부터 국가 및 공공기관 도입 네트워크 장비에 대한 시범 검증에 착수했다.
◆외산업체 "영업 장벽될 수 있다" 불만
이에 대해 해외 네트워크 장비 업체들은 일제히 반발하고 있다. 보안적합성 검증은 제품 판매의 걸림돌이 될 것이라는 우려 때문이다. 보안적합성 검증제가 현실화 될 경우 장비를 공개해 소스코드 등의 핵심 내용을 제공해야 한다.
한 외국계 네트워크 장비 업체 임원은 "제품을 판매하는 기업 입장에서 새로운 보안성 검증제가 생기는 것은 규제 성격이 강하다"면서 "이번 조치는 국내 제품을 보호하기 위한 제도로 판단하고 있다"고 말했다.
또 다른 외국계 업체 관계자도 "우리 제품의 경우 자국 정책에 따라 보안성 검증을 받는다"면서 "국내 공공기관에 제품 공급을 위해 또 다시 검증을 받는 것은 수고를 감수해야 하는 부분"이라고 강조했다.
업계 다른 관계자도 "해외 기업이 특정 국가에 제품 소스를 공개하는 것은 매우 이례적인 일"이라면서 "국내 기업들이 보유하고 있지 않는 핵심 장비를 해외 기업 인증제를 이유로 공급하지 않게 되면 고객(공공기관) 또한 피해를 보게 될 것"이라고 전했다.
◆"네트워크 장비도 보안성 검증해야"
국가보안기술연구소에 따르면 최근 10여 년간 네트워크 장비에서 1만 3천 여개의 취약점이 발견됐고 발견 건수도 매년 증가 추세에 있다. 해킹 조직의 사이버 공격 방식이 고도화되고 있으며 세계 각국도 IT기기의 취약점을 이용한 정보 수집에 열을 올리고 있는 상황.
특히 국내에서도 LG유플러스가 중국 화웨이 제품을 차세대 LTE 기지국 장비로 선정하면서 보안성 논란이 제기됐었다. 이에 따라 LG유플러스는 동일한 화웨이 LTE 기지국 장비를 사용하고 있는 캐나다·호주·스페인·영국·일본 등과 마찬가지로 영국의 공인 인증기관인 CCRA(Common Criteria Recognition Arrangement)를 통해 장비의 보안성을 인증받을 것이라고 밝힌 바 있다.
특히 국정원은 내년 4월까지 네트워크 장비 업체들이 최소 보안요구 사항에 따라 자율검증을 실시해 보안적합성 검증에 대비할 수 있도록 한다는 방침이다. 또한 2016년부터는 보안적합성 검증 뿐만 아니라 CC인증도 의무화한다는 계획이다.
국정원이 공개한 네트워크 장비의 최소 보안요구 사항은 ▲안전한 패스워드 설정 등 식별 인증 기능 ▲설정 규칙에 따른 트래픽 제어 등과 같은 정보흐름 통제 ▲보안관리 ▲자체 시험 ▲안전한 세션관리 ▲접근통제 ▲전송 데이터 보호 ▲감시기록 등 8개 분야 총 21종으로 구성됐다. 최소 보안요구 사항을 통한 자율검증 지원과 보안적합성 검증 업무는 국가보안기술연구소에서 담당할 예정이다.
국내 네트워크 장비 업체와 한국네트워크산업협회(KANI)는 그동안 공공기관이 사용하는 네트워크 장비에서 만큼은 보안인증제를 적용해야 한다고 주장해왔다. 해외 네트워크 장비 기업들의 경우 제품 소스코드를 공개하는 것에 대해 반발심을 갖고 있어 보안인증제 때문에 국산 장비의 도입이 늘어날 것이라는 판단이었다.
한 국내 네트워크 업체 임원은 "네트워크 장비는 국가의 중요 인프라로 국가 안보에 영향을 미칠 수 있다"면서 "네트워크 장비의 보안 취약성에 대한 문제 의식을 바탕으로 네트워크 장비의 보안 문제를 해소하기 위한 보안성 검증제 도입이 필요하다"고 강조했다.
김관용기자 kky1441@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기