정보보호산업협회, 금융권에 VPN입찰제한 시정 건의

　한국정보보호산업협회( KISIA·회장 정용섭)가 금융기관들의 가상사설망(VPN) 입찰 관행에 대해 공식적으로 문제를 제기했다.

　정보보호산업협회는 최근 일선 금융기관들이 VPN제품을 구입하는 과정에서 입찰 참가자격을 방화벽에 적용되는 규격인 K4e인증 획득업체로 제한해 정보보호업체들의 공정경쟁 환경을 해치고 있다고 판단, 이의 시정을 요청하는 건의문을 전국 97개 금융기관 및 증권사 등에 20일 발송했다.

　협회가 제출한 건의문에 따르면 금융감독원의 ‘금융기관 전자금융업무 감독규정 시행세칙’에서 국정원 인증을 규정하고 있는 제품은 방화벽과 침입탐지시스템(IDS)임에도 불구하고 일부 금융기관들이 이를 VPN에까지 확대 적용하고 있는 것으로 나타났다.

　협회는 이미 올 들어 2개 은행이 VPN을 도입하면서 K4e 인증을 받은 업체로 입찰참가 자격을 제한했으며 몇몇 정부투자기관에서도 이같은 사례가 발생했다고 밝혔다.

　협회는 건의문을 통해 “금융감독원에 문의해 본 결과 그러한 관행은 각 금융기관 담당자들이 감사 등을 우려해 관련 규정을 자의적으로 해석하여 추진하고 있는 것이라는 답변을 얻었다”며 “정상적으로 금감원에 보안성 심의요청을 통해 VPN 도입을 추진하고 있는 사례도 많음을 확인했다”고 밝혔다.

　협회의 한 관계자는 “금감원의 금융기관 전자금융업무 감독규정 시행세칙에 보면 방화벽과 IDS를 제외한 기타 보호장비에 대해서는 도입시 금융감독원장에세 보안성 심의를 요청하도록 돼 있다”며 “엉뚱한 규격으로 입찰을 제한해 결과적으로 특정업체가 피해를 입는 일이 없도록 담당자들에게 주의를 당부했다”고 말했다.

　한편 정보보호 업계에서는 그동안 VPN에 관한 국정원의 인증이 없음에도 불구하고 VPN에 포함된 방화벽 기능으로 K4e 인증을 받은 후 VPN에 대해 인증을 받은 것처럼 영업해 관련업체들간 논란이 끊이지 않았다. 이에 따라 이번 건의가 각 금융기관에 받아들여질 경우 이같은 논란을 잠재울 수 있을 것으로 기대된다.

　<박영하기자 yhpark@etnews.co.kr>