문제발생시, 경쟁사 비방보다 겸허하게 수용·인정하는 자세 필요

최근 국정원 등의 정보보호제품에 대한 평가기준 정착과 관련한 움직임에서는 기존 보안업체들에 대한 배려가 이전보다는 줄었다는 것을 인식할 수 있다.

지난 21일, 국정원이 6월 1일부로 시행한 ‘CC인증제품 일원화’ 및 ‘검증필 제품목록 폐지’와 관련한 ‘정보보호제품 국가·공공기관 도입기준’ 공지에서는 기존 업체를 위한 배려보다는 행정적 프로세스 편리를 위한 측면이 강해 기존에 보안업체들에 대한 유예기관을 두었던 것에 이번에는 그러한 유예기관을 두지 않겠다는 국정원의 강한 의지를 볼 수 있었다.

또한 조달목록에 있어서도 보안업체들의 다양한 제품 공급 측면보다는 이를 구입하는 행정기관의 편리에 우선했다는 점 등은 정보보호업체들의 각성을 요구하는 시사점을 담고 있지 않나 하는 생각을 해본다.

정보보호산업이란 IT산업과 별도로 진행되는 한 사업군이 아니다. IT산업 등 내에 정보보안 측면을 담당함은 물론 이는 기존에 전혀 별도로 인식됐던 측면에서 현재는 이것이 별도로 떨어져 진행될 수 없다는 것이 새로운 패러다임으로 자리 잡고 있다.

그런 측면에서 최근 이러한 일련의 국가 차원에서의 CC인증 등 보안성 강화를 위한 평가제도와 관련한 일부 보안업체들의 대응은 너무도 업체이익만을 쫓는 모습만을 보여줘 아쉽다는 생각이 든다. 일부 업체들은 문제 발생 시, 경쟁업체를 비방하거나 근거 없는 이슈를 유포함으로써 관련 시장에 혼선을 야기 시켰으니 말이다.

기업이 기업이익을 추구하는 것은 너무도 당연한 일 일터다. 하지만 그러한 기업이윤 추구에만 매달리다 보니 결국 그것이 관련 업계에도 큰 파장을 만들어 물을 흐리는 결과를 만들었다. 이와 관련한 취재를 하면서도 자사의 잘못된 부분에 대한 겸허한 수용과 인정보다는 경쟁업체에 대한 비방만이 난무할 뿐이었다. 그 결과가 이번 국정원이나 조달청의 행보가 아니었을까!

정보보호시장은 아직까지는 공공시장에 대한 의존도가 높다. 그렇기에 평가에 대한 의존도가 높아질 수밖에 없는 만큼 이는 반드시 통과해야할 관문인 셈이다. 또한 이러한 평가가 통과해야할 관문이라고는 하지만 이는 정보보호제품에 대한 보안성 및 안전성 향상을 인정받기 위한 것이 그 목적임을 간과해서는 안 된다.

이와 관련해 평가기관 한 관계자의 “일반적으로 정보보호제품을 개발하는 업체는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 평가·인증을 받아야 하는 과정처럼, 마치 규제인 것처럼 인식하고 있는 것 같다”는 말은 평가·인증과 관련한 보안업계가 현재 대응하고 있는 모습을 제대로 지적한 것 같다.

국가 차원에서의 정보보호제품에 대한 평가·인증제도는 1차적으로 보안성 및 안정성 확인을 위한 것이다. 그리고 2차적으로는 보안업체 입장에서 이미지 제고 및 홍보 측면 등에서도 이용이 가능하다.

한 보안업체 관계자의 “CC인증과 관련해 인증비용 및 평가제출물 작성 등을 비롯한 복잡한 사항이 애초에 인증을 받을 생각을 못하게 한다”는 말처럼 여전히 정부 차원에서의 개선점을 마련할 필요성은 있다.

하지만 그에 앞서 일부 보안업체들이 이와 관련한 문제 발생 시, 경쟁업체 비방에만 힘을 기울인다거나 자사의 이윤목적으로 근거 없는 이슈를 생성하는 등의 비효율적인 모습을 보이기보다는 그에 대한 문제점을 숨기지 말고, 발견된 문제점을 보완해 가는 모습을 보여줄 수 있기를 바래본다. 또한 보안업계 입장에서도 이와 같은 일부 업체들의 잘못된 행보로 업계 전체의 물을 흐릴 수 있는 만큼 그에 대한  자정의 각성이 필요하겠다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>