안랩의 보안백신 프로그램 ‘V3’의 정부 부처 및 공공기관 판매가 일시 중단된다. 공통평가기준(CC) 인증이 필요한 데 안랩이 제 때 연장하지 못해서다. 이와 달리 공공기관이 사용하는 자가망 구축에 쓰인 통신장비는 CC 인증 요구가 없다. 일관성 없는 CC 인증 효력으로 형평성 논란이 크다.
CC인증은 정보보호 제품 안정성과 신뢰성을 국가가 평가해 인증하는 제도다. 정부가 보안 인증을 E&E 등 정보보안 평가 기관에 요청하면 이 기관이 독립적으로 테스트를 수행한다. 최종 보고서는 인증을 의뢰한 정부부처가 최종 심사해 인증 발급 여부를 결정한다. CC인증은 현재 한국을 비롯한 30개국에서 유효하다.
19일 통신업계에 따르면 통신장비 업체 중 CC인증을 받은 곳은 화웨이가 유일하다. 노키아나 에릭슨, 삼성전자 등은 아직까지 CC인증을 받은 적 없다. 이는 E&E의 미구엘 바농 CEO가 2월 말 열린 MWC 2019에서 밝힌 내용이다.
민간이 쓰는 상용망은 임대료만 내면 되지만 자가망은 별도로 망을 설치해야 해 추가 비용이 발생한다. 대신 상용 트래픽과 분리돼 있어 해킹이나 디도스 등 사이버 공격에 노출될 가능성이 낮다.
하지만 자가망의 사이버공격 노출도는 CC인증을 받지 않은 것과는 별개의 문제다. 안랩은 최근 V3의 CC인증을 연장하지 못해 국가로부터 안정성과 신뢰를 잃게 됐다. 이를 통신장비에 대입하면 자가망 역시 안정성과 신뢰성을 담보할 수 없게된 셈이다.
화웨이는 LTE 장비를 납품하던 9년 전부터 현재 5G까지 자발적으로 스페인 정부를 통해 CC인증 절차를 밟았다. 제품을 구입하는 기업의 보안 우려를 해소하겠다는 의중이다. 반대로 보면 CC인증 절차를 밟지 않은 삼성전자, 노키아, 에릭슨 등 장비업체는 오락가락한 정부 정책에 편승해 무임승차한 측면이 있다.
보안업계 한 관계자는 "해외에서는 보안 취약점을 최소화하기 위해 통신장비의 CC인증이 늘어나는 추세다"라며 "국가 기간망의 보안과 안정성 확보를 위해 통신 장비에서도 인증을 요하는 장치가 필요하다"고 말했다.
보안업계가 CC인증의 필요성을 강조하는 반면 정부는 국가기간망 통신장비 등 정보보호 제품의 보안성 검증에 일관성을 두지 않는 모습이다. CC인증의 유무와 관련없이 보안성 검증에 이중 잣대를 적용할 가능성도 우려된다.
최영석 행안부 정보통계담당관 주무관은 "모든 정보보호 제품의 보안성 검증에는 기본적으로 CC인증을 요하는 것이 맞지만 경우에 따라 인증을 받지 않은 제품이라도 안정성과 신뢰성을 인정받을 수 있다"며 "구체적인 기준은 모르지만 국가보안기술연구소가 보안성 검증에 대한 판단을 전적으로 내리고 정부부처가 따르는 형태다"라고 말했다.