요즘 보안업계가 시끄럽다.
국가정보원이 자체 개발한 침입탐지 시스템(IDS)을 행정자치부 등 각 중앙부처에 무료로 배포하겠으니 필요한 수량을 파악해 달라는 공문을 발송한 사실이 알려지면서 업계가 발끈하고 나선 것. 여기에 모 보안업체가 국정원과 손잡고 이 솔루션을 공동 개발했다는 소문이 돌면서 보안업계 전체가 내홍(內訌)에 휩싸였다.
문제의 발단은 최근 국정원의 이러한 행동이 언론을 통해 알려지면서부터. 특히 그 시기가 IDS 평가인증(K4인증) 심사가 한창 진행 중인 때여서 더 논란이 가중되고 있다. K4 인증 제도는 공공기관에 공급하는 제품의 보안성을 검토하고 보증한다는 의미에서 만들어 진 제도로 한국정보보호센터에서 평가하고 인증서는 국정원에서 준다.
올들어 지금까지 펜타시큐리티시스템, 인젠, 넷시큐어테크놀로지, 시큐브, 정보보호기술, 윈스테크넷, 데이터게이트인터내셔널, 시큐어소프트 등 총 8개 업체가 한국정보보호센터와 인증 심사계약을 체결했다. 아직 인증서를 받은 업체는 단 한 군데도 없는 상태.
K4 인증을 획득하면 엄청난 홍보 효과를 누릴 수 있다. ‘정부가 보증하는 제품’이란 타이틀로 홍보할 수 있기 때문에 공공기관은 물론 민간시장에서도 경쟁력을 확보할 수 있게 되는 것이다. 따라서 업계에서는 이 K4 인증을 받기 위해 온갖 노력을 다하고 있다.
이 같은 상황에서 인증서를 주는 국정원이 IDS 솔루션을 중앙부처에 무료로 배포하겠다고 나섰으니 업체들로서는 반발할 수밖에 없는 일.
한국정보보호산업협회(회장 김홍선)는 지난 달 28일 오전 7시 30분에 협회 차원의 긴급 이사회를 열고 국정원의 IDS 무료 보급건과 관련, 관계부처에 민간시장의 자율성을 저해할 수 있다는 요지의 공문을 발송키로 결의하기도 했다. 문제가 단지 IDS 개발업체에서 국내 전 보안업계의 문제로까지 비화되기에 이른 것이다.
이러한 가운데 업계의 관심은 과연 국정원과 공동개발에 참여한 업체가 어디냐는 것으로 쏠렸다. 의심의 눈초리는 S社라는 특정업체로 집중됐다.
“그 동안 국정원과의 관계 등 모든 정황을 고려해 볼 때 그 업체밖에는 없다”는 게 이 소문의 근거였다.
이러한 소문은 꼬리에 꼬리를 물고 퍼져 나갔고 마침내 공론화 되기에 이르렀다.
지난 28일 협회 긴급 이사회에서 해당 회사 대표에게 진위 여부를 묻는 공식 질문이 제기됐고 그는 “결코 그런 일이 없다”고 해명했다.
이 회사 마케팅 담당 실장은 “선두 업체에 대한 명백한 음해공작”이라며 “이러한 일을 할 이유가 전혀 없지 않느냐”고 말했다. 그는 또 “이 일로 인해 현재 공공기관에 대한 영업이 모두 중지돼 우리 회사도 큰 피해를 입고 있다”며 “국정원 관계자도 우리 회사가 아니라고 밝힌 만큼 불신의 눈을 갖고 보는 일은 없었으면 한다”고 주장했다.
갈등 장기화 전망
업계에서는 ''국정원 IDS 무료 배포 사건'' 과정에서 발생한 문제점으로 국정원의 보안 솔루션 개발을 들고 있다.
국정원은 K4 인증 심사계약을 체결하는 업체들의 프로그램 소스 코드를 전부 다 볼 수 있다. 마음만 먹으면 얼마든지 여러 소스 코드를 결합, 민간기업보다 훨씬 더 좋은 프로그램을 만들 수 있는 기회를 갖게 되는 것이다.
익명을 요구한 보안업체 한 관계자는 “K4 인증 과정에서 소스 코드를 다 보면서 같은 종류의 솔루션을 개발해 공공기관에 무료로 이를 배포하겠다는 것은 도덕적으로 용납할 수 없는 행위”라며 “국내 보안업체의 건전한 육성을 위해 이 같은 시도는 다시는 없어야 할 것”이라고 말했다.
업계에서는 국정원이 당초 계획을 취소하지 않는다면 이를 둘러싼 갈등이 장기화 될 것으로 전망하고 있다. 모든 분야가 침체의 늪에 빠져 헤어나지 못하는 지금 이러한 사건이 계기가 돼 그나마 아직 ‘사업이 되는’ 분야로 알려진 보안업계가 불황의 늪에 빠지지 않도록 지혜를 모아야 한다는 지적이 여기저기서 제기되고 있다.
베이징=이경수 기자(korstan@joongang.co.kr)
자료제공 : i-Weekly(http://www.iweekly.co.kr)
