대신 전문성 높은 시험기관이 ‘확인서’ 발급
인증 적체로 1년 넘게 소요돼 업계 불만 커

국가·공공기관에 IT 제품을 납품할 때 걸림돌이있던 보안기능 확인서 제도가 간편해진다. 보안기능 확인서 제도는 정보보호 시스템, 네트워크 장비 등 IT제품에 대해 공인 시험 기관이 ‘국가용 보안 요구 사항' 만족 여부를 시험해 안정성을 확인해주는 제도다.

국가정보원은 국가보안기술연구소(이하 국보연)가 진행하던 시험결과 검토 업무를 생략하는 대신 시험기관이 ‘보안기능 확인서’를 발급하는 새로운 방안을 마련했다. 인증 적체 문제로 피해를 봤다는 기업이 상당수 발생한 탓이다. 국정원이 국보연을 패싱하는 대신 시험인증 기관의 재량권을 확장함에 따라 그동안 논란이 많았던 보안 인증 적체 현상이 해소될 것이라는 기대감이 확산된다.

국가보안기술연구소 / 국가보안기술연구소
국가보안기술연구소 / 국가보안기술연구소
8일 국가정보원 등에 따르면 국가보안기술연구소는 하반기 ‘보안기능 확인서' 검토 업무에서 손을 뗀다.

국정원 관계자는 "‘보안기능 확인서’ 제도 시행 이후 시험기관의 역량이 축적된 점을 감안해 시험기관에 확인서 발급 재량권을 폭넓게 부여하는 방안을 마련했다"며 "이를 통해 그동안 국가보안기술연구소가 수행해 온 시험결과 검토 업무를 생략할 수 있어 발급에 소요되는 시간이 크게 단축될 것으로 기대한다"고 말했다.

이어 "향후 시험기관 대상 역량 평가를 거쳐 검증된 기관 순으로 자율 발급을 허용할 예정이며, 조속한 시행을 위해 노력하고 있다"며 "3분기 내 시행할 예정이다"고 부연했다.

기존 정부나 공공 기관에 IT 제품을 납품하려면 국제 공통기준(CC) 인증을 받아야 했지만, 기간이 1년 넘게 소요된 만큼 관련 업계의 불만이 컸다. 국정원은 보안적합성 검증 절차 간소화를 위해 2020년부터 보안기능 확인서 제도를 시행했지만, 보안기능 확인서 발급 조차 적체 현상을 면치 못했다. 국가보안기술연구소가 시험 결과 검증을 하는 과정에서 시간이 많이 소요된 탓이다. 일부 기업은 인증서 발급 지연으로 사업 수주에 차질을 빚기도 했다.

보안기능 확인서 발급 체계 / 한국정보보안기술원 갈무리
보안기능 확인서 발급 체계 / 한국정보보안기술원 갈무리
보안·SW 업계는 시험 결과를 검토하는 국가보안기술연구소와의 소통이 원활하지 않아 대기시간이 여전히 길다고 지적했다.

국정원은 업계의 쏟아지는 불만에 결국 한번 더 절차를 간소화하는 방법을 택했다. 발급 절차 과정에서 국보연의 역할을 줄인 것이다.

예를 들어 정보보호 제품의 경우 ▲한국시스템보증 ▲한국아이티평가원 ▲한국정보통신기술협회 ▲한국정보보안기술원 ▲한국기계전기전자시험연구원 ▲한국전자통신연구원 ▲한국산업기술시험원 등이 보안기능확인서 시험기관인데, 국보연 검토를 거치지 않고 이들 기관에서 바로 발급이 가능하도록 한 것이다.

인증시험 종료 후 국보연에서 보고서에 대한 평가를 진행하는 기간이 길었으므로, 발급 절차가 간소화될 것이라는 기대감이 크다.

IT업계 한 관계자는 "보안인증 적체 현상은 그동안 공공기관에 제품을 납품해야하는 업계의 오래된 불만이었다"며 "굉장히 큰 변화로 여기며, 인증 절차가 한결 더 수월해 질 것이란 기대감이 있다"고 말했다.

보안업계 한 관계자도 "절차 간소화와 별개로 소통은 여전히 중요하다"며 "3개 기관(시험기관, 검증기관, 정책기관)과의 소통이 원활하지 않다보니, 더욱이 인증 적체를 문제삼을 수밖에 없었다"고 말했다.

이어 "절차가 간소화된다면 시험기관과 유관기관의 피드백이 더 활발해질 것으로 기대한다"고 전했다.

류은주 기자 riswell@chosunbiz.com