공공기관 납품 실적도 저조
영세 기업 '준비 단계' 지원
도입요건 완화 후속책 필요
정부가 야심차게 시행한 '신기술 및 융·복합 정보보호제품 신속확인제'가 지지부진하다.
최근 6개월간 신속확인심의위원회가 열리지 않았고, 기존 신속확인 제품의 공공기관 납품 실적도 저조하다. 공공기관의 신속확인 제품 도입요건 완화 등 후속 대책이 필요하다는 목소리가 나온다.
9일 정보보호산업계에 따르면, 올해 들어 신속확인서 발급을 위한 신속확인심의위원회가 단 한 차례도 열리지 않았고, 차기 심의위원회 일정도 정해진 바 없다. 사실상 '개점휴업' 상태다.
신속확인제는 마땅한 평가 기준이 없어 인증 획득이 어려운 혁신 정보보호제품의 국가·공공기관 등 공공시장 진입을 열어 주기 위해 지난 2022년 11월 도입됐다. 기업은 신속확인 대상 제품 여부를 검토한 후 취약점 점검과 소프트웨어 보안약점 진단, 기능시험 등 준비 단계를 갖는다. 이후 신속확인기관에 신청하면 평가를 거친 뒤, 심의위원회에서 제품 평가 결과와 기업발표를 바탕으로 심의·의결한다.
지난해 4월 F1-웹캐슬(에프원시큐리티)이 처음으로 신속확인서를 획득한 이후 5월 브이이지스(SGA솔루션즈), 9월 패킷고(프라이빗테크놀로지), 10월 실덱스 리모트 브라우저(소프트캠프), 11월 mOTP(아톤), 12월 쿼아디안(베이스스톤) 등 꾸준히 신속확인제품이 나왔지만 올해 들어 뚝 끊어졌다.
신속확인제 사업을 담당하는 한국인터넷진흥원(KISA)은 신속확인제도에 관심을 갖는 기업이 영세하다 보니 사전 준비 단계에 속도가 나지 않는다고 밝혔다.
KISA 관계자는 “올해 상반기 들어온 문의 13건 중 신속확인 대상이 되는 제품은 10건”이라면서 “사전 준비를 마치고 신속확인 제품을 신청한 기업은 아직 없다”고 말했다.
제도 도입 취지와 달리 신속확인 제품의 공공기관 납품 실적도 기대에 미치지 못한다. 한국핵융합에너지연구원과 한국전자통신연구원(ETRI) 등에 공급한 브이이지스를 제외한 나머지 제품은 공공기관 납품 실적이 단 한 건도 없다.
산업계는 신속확인제 활성화를 위해 영세 기업이 신속확인제를 쉽게 준비할 수 있도록 지원하는 한편, 공공기관을 '가·나·다'그룹 구분 없이 적용하는 제도 변경이 필요하다고 주장한다. 현재 신속확인 제품은 나·다 그룹에 국가정보원의 보안적합성 검증 없이 도입이 가능하지만, 가 그룹 기관의 경우 보안적합성 검증을 받아야 한다.
신속확인서를 받은 A기업 관계자는 “신속확인제 활성화를 가로막는 가장 큰 요인이 가 그룹에서 국정원 보안적합성 검증이 필요하다는 점”이라고 말했다.
주무 부처인 과학기술정보통신부는 보완책을 준비하고 있다는 입장이다.
과기정통부 관계자는 “인공지능(AI)·제로 트러스트 등 대규모 재원을 투입하는 사업에서 신제품·모델을 개발할 경우 신속확인제와 연계하도록 설계했다”면서 “신속확인서를 획득한 기업을 선별해 벤처캐피탈(VC)·기업주도형 벤처캐피탈(CVC)에 우선 추천하는 등 민간시장 진출을 지원하는 방안도 준비하고 있다”고 말했다.
