외산 보안 업체들이 국정원 보안 적합성 검증 획득에 잇달아 나서면서 국산 제품의 텃밭이던 공공 시장에서 내년 외산 및 국산 제품이 한판 격돌한다.
우리나라는 지난해 국제공통기준상호인정협정(CCRA) 가입 이후 국가정보원 보안적합성 검증 제도 신설로 외산 업체들이 공공시장 진입을 위해서는 국내 인증을 획득해야 한다. 이에 따라 최근 보안적합성 검증을 준비하며 국내 공공 시장 본격 진입을 노리고 있는 외산 업체들과 현지 즉시 대응을 앞세운 국내 업체들간의 경쟁이 본격화될 전망이다.
◇보안적합성 검증 신청 잇달아=지난 8월 티핑포인트가 침입방지시스템(IPS)으로 첫 보안적합성 검증을 받은 후 워치가드와 아크사이트도 통합보안관리(UTM)과 통합보안관리(ESM) 제품으로 각각 국정원 보안적합성 검증을 필했다. 또 포티넷과 체크포인트, 맥아피 등도 내년 초 보안적합성 검토를 신청하기 위해 준비 중이다.
포티넷(지사장 이상준)은 내년 자사 UTM 제품군이 새 버전 CC 인증을 받는대로 보안적합성 검증을 신청할 계획이다. 내년 상반기 이후엔 공공 시장에서 본격 경쟁이 가능할 전망이다.
한국맥아피(대표 손형만)는 IPS 제품군 ‘인트루쉴드’로 올해 보안적합성 검증을 신청하고 향후 신청 제품군을 확대할 계획이다.
체크포인트코리아(대표 조현제)는 이달 방화벽 제품군에 대한 보안적합성 검증을 신청하고 결과를 기다리고 있다.
포티넷 이종열 이사는 “외산 기업들이 보안적합성 검증을 받고 공공 시장에서 본격 경쟁하기 시작하면 국내 업체 중심의 시장 판도가 확 바뀔 것”이라고 말했다.
◇“공공시장도 잡겠다”=우리나라는 지난해 국제공통기준상호인정협정(CCRA)에 가입, CC 인증을 가진 외산 업체들에 공공시장을 개방했지만 실제 개방 효과는 미미했다. 공공기관에 납품되는 제품이 국가 전산망에서 요구하는 보안 수준에 적합한지 평가하기 위한 보안적합성 검증을 받도록 했는데 외산 업체 중 검증을 받은 업체가 없었기 때문이다.
하지만 보안적합성 검증은 과거 K4 인증과는 달리 제품의 소스코드를 요구하지 않기 때문에 이전보다 훨씬 진입 장벽이 낮아졌다. 검증에 따른 손익 계산을 마친 외산 업체들이 최대 시장인 공공 분야 공략을 위해 보안적합성 검증에 나선 것.
일반 기업들도 국정원 검증을 받은 제품을 선호한다는 것도 한 원인이다. 특히 보안 분야 전문 업체들을 중심으로 네트워크 및 웹 보안 제품군에 검증 신청이 몰리고 있다.
◇즉시 대응 가능할까=그러나 유지보수 비율이 낮고 문제가 생겼을 때 즉각 대응을 요구하는 국내 공공 시장 특성상 외산 기업의 시장 침투는 한계가 있다는 지적도 있다. 소규모로 운용하는 외산 업체들은 대응 인력 유지 등에 제한을 받기 때문이다.
국산 제품들이 이미 공공기관에 상당 부분 설치된 점과 외산 업체들이 높은 유지보수 비율을 고집하는 것도 장애 요소가 될 수 있다. 이에 대해 손형만 한국맥아피 사장은 “네트워크 장비의 새 보안 취약점은 실시간 업데이트가 되뿐 아니라 글로벌 위협 요인 발견은 다국적 기업이 유리할 수 있다”고 말했다.
한세희기자@전자신문, hahn@
