정부가 시장 활성화와 기업 지원을 목표로 여러 분야에서 인증제를 시행하지만 오히려 기업의 발목을 잡거나 효과를 거두지 못한다는 비판이 나온다. 업계 현실을 반영해 실효성 높은 제도를 마련해야 한다는 지적이다.
클라우드산업발전법이 시행된 지 반년이 지났지만 정부 인증제도에 가로막혀 공공시장이 좀처럼 열리지 않고 있다. 국내 중소 업체는 인증제 대응 인력과 시간 투입으로 공공사업을 시작하기도 전에 자본력 있는 대기업에 밀려날 위기에 몰렸다.
정부가 지난달 클라우드서비스 보안인증제도 세부 사항을 발표한 후 중소 업체의 불만이 높다. 인증제도에 따라 공공기관은 보안인증을 받은 민간 클라우드 서비스만 도입한다. 공공사업을 진행하는 기업이라면 필수 인증이다.
인증제가 자금과 여력이 부족한 중소사업자 발목을 잡고 있다. 정부는 인증서를 발급하기 위해 사업자가 관리·물리·기술 보호 조치 등 총 14개 부문 117개 항목을 준수했는지를 평가한다. 인증서는 전체 항목을 준수했을 때 발급한다.
기업은 인증을 신청하기 위해 117개 항목을 점검하고 보완해야 한다. 또 많은 인력과 컨설팅 비용, 시간을 투입한다. 여력이 있는 대기업 입장에선 짧은 시간에 준비할 수 있지만 중소 업체는 무리다. 최대한 서둘러서 하반기에 인증 신청서를 내더라도 인증심사기간(최소 3~9개월 예상)을 거쳐 내년 이후에나 인증서를 받게 된다.
일부 사업자는 보안인증제에 더해 국제공통평가기준(CC)인증도 받아야 한다. 데이터센터 가상화와 정보보호 솔루션은 CC인증 제품을 사용해야 한다. 데이터센터를 운영하면서 직접 가상화 솔루션이나 정보보호 제품군을 공급하는 기업은 CC인증과 보안인증 모두를 확보해야 한다.
업계는 통상 CC인증 발급까지 6개월의 시간과 5000만원 이상의 비용이 투입되는 것으로 보고 있다. 제품 버전을 업그레이드할 때는 인증을 다시 받아야 하는 등 수시로 인증 비용이 발생, 부담으로 작용한다.
중소 업체는 정부 인증제도가 시장 상황을 고려하지 않은 획일화된 제도라고 지적했다. 업계는 공공기관의 성격에 따라 보안인증 수준을 차별화해야 한다고 주장했다. 보안 중요도에 따라 인증 수준이 달라지면 중소기업은 공공기관 공략 대상을 나눠서 인증을 신청한다.
중소기업 관계자는 “대기업은 한 번에 인력을 투입해 일사천리로 인증을 신청하지만 중소업체는 하던 사업을 중단하고 인증제에 매달려야 한다”고 고충을 토로했다.
서성일 미래창조과학부 SW진흥과장은 “공공기관별로 정보보호 등급이 낮은 분야는 인증제를 받지 않은 민간 서비스도 이용할 수 있도록 관계 부처와 협의하겠다”고 밝혔다.
김지선기자 river@etnews.com
