보안분야 신제품과 통합보안 제품 개발이 기존 보안 인증제도에 가로막혀 이를 개선해야 한다는 목소리가 높다.
3일 업계에 따르면, 이메일 보안 관련 신제품 개발한 A사는'일반 보안요구사항'을 통해 보안기능확인서를 취득하는 데 2년이 걸렸다. 보안기능확인서 획득엔 통상 3~10개월이 소요되는데, A사는 일반 보안요구사항을 마련하는 데만 1년6개월이라는 시간이 더 필요했다.
일반 보안요구사항은 기업 스스로 시험 기준을 만들어 시험기관에 제출, 보안기능확인서를 발급받을 수 있도록 한 제도다. 신제품의 경우 기존 국제공통평가기준(CC) 인증 또는 보안기능확인서 획득을 위한 심사 기준이 없어 시간이 많이 필요했다.
비용은 약 6500만원이 발생했다. 신제품은 시험 기준을 만들기 위한 컨설팅 비용을 추가로 부담해야 한다. 즉, 중소 보안기업이 공공 부문 진출을 위한 출발점에 서는 데만 2년여의 시간과 수천만원이 별도로 드는 것이다.
A사 대표는 “세상에 없는 새로운 제품을 개발했는데, 시험기관도 명확한 기준이 없어 기존의 기술 기준에 맞추라는 요구를 받았다”며 “기존 기준에 맞춘 제품은 새로운 제품이 아니며, 이는 '신제품을 개발하지 말라'는 말과 같다”고 말했다.
국내 보안 기업의 통합보안 제품 개발이 더딘 것도 인증제 영향이 크다는 지적이 나온다. 통합보안 제품 역시 신제품 못지않게 인증이 까다로워 기업들은 통합제품 개발은 물론 인수·합병(M&A)에도 소극적인 상태다.
혁신 기능을 갖춘 신제품이나 통합보안 제품은 글로벌 기업과 경쟁하기 위한 무기다. 하지만 국내 공공 시장은 시험 기준이 마련된 기존 제품(침입차단시스템, 웹 방화벽, 침입방지시스템, 안티바이러스 등) 중심으로만 형성·유지되고 있다.
문제 해결을 위해 과학기술정보통신부가 운영하는 '신속확인제', '선도입·후검증'하는 보안성 검토를 활성화하는 방안 등이 거론된다.
신속확인제는 신제품과 융·복합 제품의 공공 진출을 열어주기 위해 도입했다. 하지만 신속확인제를 통과하더라도 가급(국방 등 보안등급이 높은 기관)을 제외한 나·다급 그룹에 편성된 기관에만 제품을 공급할 수 있다.
신속확인제를 취득한 한 사이버보안 기업 대표는 “신속확인제 발급이 사업적 가치를 가지려면 가급 기관에도 제품을 공급할 수 있도록 제도를 개선해야 한다”고 말했다.
기존 사전인증제를 보완하자는 주장도 나온다. CC인증이나 보안기능확인서 등 사전 인증이 아니라 공공기관에 도입한 후 보안성 검토를 받는 방식이 주를 이뤄야 정보보호 혁신이 이뤄질 수 있다는 점에서다.
한 정보보호기업 대표는 “기존 인증 구조에 맞춰 개발하면 구(舊) 제품이 된다”며 “공공기관이 솔루션을 환경에 맞춰 구축하고 이후 보안성 검토를 받는 방식이 바람직하며 후발주자인 중소 보안기업에도 활로가 생긴다”고 말했다.
조재학 기자 2jh@etnews.com
![[단독] 한국형 IRA, 전기차·태양광 핀셋 적용…반도체는 제외](https://newsimg.sedaily.com/2025/11/03/2H0B8XNHYF_1.jpg)
![[비즈 칼럼] 수백억 설비 투입되는데…간장·고추장 ‘단순 가공식품’ 취급은 억울](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202511/03/17d5c557-5e95-4c40-b2b3-8f5eb0df3a3e.jpg)
![[단독] 공정위, 두나무 정조준…'복합규제' 검토](https://newsimg.sedaily.com/2025/11/02/2H0ARA03DC_1.jpg)
![[ET톡]독점에 막힌 혁신](https://img.etnews.com/news/article/2025/10/27/news-p.v1.20251027.41c9efe19a0a4042b3008e03c4323fc2_P3.jpg)