"VPN K4E 등급 제품만 구입하겠다"

　금융·공공기관들이 보안등급이 없는 가상사설망(VPN) 제품에 대한 발주를 내면서 ‘K4E’ 등급 제품을 구입하겠다고 명시, VPN 솔루션업체들이 크게 반발하고 나섰다.

　1일 관련업계에 따르면 지난해말부터 금융과 정부 공공기관의 VPN 솔루션 도입이 크게 늘어나고 있으나 솔루션업체에 보낸 제안요청(RFP)에는 방화벽이나 침입탐지시스템(IDS) 제품에만 적용되는 ‘K4E’ 등급 제품을 공급하라고 명시, 대부분의 업체들이 제안서조차 못내고 있다.

　가장 대표적인 사례가 농협 프로젝트. 전국 농협지점에 모두 설치하는 이번 프로젝트는 190억원대에 달하는 올해 최대 규모로 VPN업계 판도를 변화시킬 정도로 비중이 높다. 그러나 농협의 RFP에는 공급받을 제품을 ‘K4E 등급을 받은 VPN’으로 못박아 많은 업체들이 참여를 포기했다. 지난해 진행된 경찰청과 사학연금관리공단의 VPN 프로젝트에서도 K4E 등급제품을 요구했으며 올들어 J, P 등 금융사들이 진행하고 있는 VPN 프로젝트도 K4E 등급 제품만 구입하겠다는 의사를 밝히고 있다.

　이에 따라 이달 중순께 최종사업자를 선정하는 농협 프로젝트에는 어울림정보기술과 퓨쳐시스템만이 제안서를 제출한 상태다. 나머지 VPN 업체들은 올 최대 공략지에 명함조차 못내민 꼴이 된 것이다.

　이에 대해 VPN업체들은 현재 국가정보원과 한국정보보호진흥원(KISA)에서 심사하는 제품은 방화벽과 IDS뿐이고, 앞으로는 보안인증이 세계 보안등급인 CC로 전환돼 K4E 등급을 받았거나 받을 VPN 제품은 존재할 수조차 없다고 항변하고 있다. 그럼에도 불구하고 VPN을 구축하려는 금융기관과 공공기관들이 K4E 제품을 요구하는 것은 순전히 ‘오해’에서 비롯된 것이라는 게 관련업계의 주장이다.

　관련업계는 이러한 현상에 대해 퓨쳐시스템과 어울림정보기술이 VPN제품과 지난해 K4E 등급을 받은 방화벽을 결합한 통합제품을 출시한 이후 마치 이들 VPN 제품이 K4E 등급을 받은 것으로 잘못 이해되고 있기 때문으로 분석한다. 결국 RFP에 명시된 K4E등급을 받은 VPN 제품은 K4E 등급을 받은 방화벽과 등급이 없는 VPN이 결합된 제품이 된 셈이다. 　

　VPN 솔루션 업체의 한 관계자는 “대형 프로젝트는 물론이고 1, 2대 도입하는 소규모 프로젝트까지 K4E 등급 제품만을 요구하고 있어 영업에 큰 차질을 빚고 있다”며 “발주처를 찾아다니면서 VPN 제품은 보안등급 자체가 없다고 말하지만 담당자들은 아예 외면하고 있다”고 말했다.

　관련업체들은 보안등급 심사를 담당하고 있는 국정원과 KISA측에서 금융·공공기관들의 오해를 풀어줄 것을 기대하고 있으며 VPN 솔루션 도입 업체들에 대해서는 정당한 성능비교를 거쳐 제품을 선정해 줄 것을 요청하고 있으나 아직까지 뾰족한 해결책이 없는 상태여서 당분간 관련 업체들의 속앓이는 계속될 것으로 보인다. 　

　<서동규기자 dkseo@etnews.co.kr>