공공기관이 모바일 오피스를 도입하는 과정에서 반드시 거쳐야 할 국가정보원 보안 적합성 심사가 수개월째 지연되고 있다. 국정원은 솔루션 기술수준 미흡을 이유로 꼽고 있지만 보안업계는 국정원 모바일 보안 지침이 확정되지 않아 완벽한 제품을 만들 수 없다고 주장한다.
13일 한국방송광고공사(KOBACO)와 한국관관공사는 모바일 오피스 도입을 위해 지난 3월 국정원에 보안 적합성 심사를 신청했으나 6개월이 지난 지금까지도 승인을 받지 못했다고 밝혔다. 서울메트로도 지난 7월 국정원에 보안 적합성 심사를 신청했으나 아직까지 회신을 받지 못했다.
공공기관들이 모바일 오피스를 도입하는 과정에서 보안 적합성 심사가 늦어지는 것은 적용된 보안체계가 국정원 수준에 미치지 못하기 때문이다. 특히 모바일디바이스관리(MDM) 영역에 보안이 취약한 상황이다. MDM은 모바일 디바이스를 통해 기업 내 모바일 오피스 시스템에 접속하는 것을 관리하는 솔루션이다. 예를 들어 MDM 솔루션을 적용하면 모바일 디바이스를 분실했을 때 자동 차단기능으로 내부 시스템 접근을 막을 수 있다.
아이폰 운용체계(OS) 소스코드가 공개되지 않는 것도 공공기관이 보안체계를 갖추는 데 어려움으로 작용한다. 실제 iOS에서 구동되는 MDM 솔루션은 라이선스 계약을 맺고 있는 일부 해외 기업만이 출시하고 있다. 일부 기관은 부득이하게 외산 솔루션을 도입했다. 다른 공공기관 관계자는 “외산 솔루션을 적용하다 보니 보안 적합성 심사가 길어지고 있다”고 전했다.
국정원은 개인 소유 스마트폰에 보안정책을 적용하는 데 한계가 있다고 판단, 이를 업무에 적용하게 되면 심각한 보안위협이 된다고 보고 있다. 공공기관에서는 개인용이든 업무 전용이든 보안대책 없이 스마트폰을 통해 업무를 보는 것은 불허하고 있다.
국정원 관계자는 “지난 3월 보안 적합성 검증을 신청한 기관은 ‘국가·공공기관 업무용 스마트 보안규격’을 충족시키지 못해 여러 차례 보완 절차를 진행하고 있기 때문에 검증이 오래 걸린 것”이라고 설명했다.
이에 대해 보안업계는 보안 적합성 심사가 지지부진한 데엔 국정원 책임도 크다는 시각이다. 보안업계 한 관계자는 “국정원이 새로 출시되는 모바일 디바이스 환경에 최적화한 보안 지침을 추가로 발표한다고 했지만 아직까지도 지침을 주지 않고 있다”며 “정확한 규격을 모른 채 최적의 제품을 출시하는 것은 현실적으로 불가능하다”고 토로했다.
신혜권기자 hkshin@etnews.com
