세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[심층취재-1] 공공 영상보안시장 혼란 빠트린 ‘보안인증’
  |  입력 : 2018-04-25 14:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
TTA CCTV 성능 시험·인증에 공공기관용 보안인증 추가
정부 ‘공공기관용 CCTV 보안인증’ 도입 권고 둘러싼 논란 커져
보안인증 제품 없이 서둘러 공문 발송...도입 유예 등 대책 마련 필요


[보안뉴스 김성미 기자] 앞으로 공공기관에 도입될 영상보안 장비에는 보안인증이 ‘필수’가 될 전망이다. 지난 1월말 국가정보원(이하 국정원)은 각 부처에 공문을 보냈다. 공문에는 IP 카메라와 NVR 등 영상보안 장비를 공공기관에 도입할 경우 한국정보통신기술협회(TTA)의 공공기관용 보안인증을 획득한 제품을 사용하라는 권고가 담겨 있었다.

이 같은 내용의 공문을 수신한 각 부처는 산하 지방자치단체(지자체)와 공공기관에 국정원 공문을 바탕으로 영상보안장비 보안기준 공문을 발송했다. 공문에 담겨있는 내용은 권고 사항이었지만 정작 ‘권고’라는 두 글자가 없었던 탓에 일부 지자체와 기관은 이를 권고가 아닌 의무(?)사항으로 받아들여 영상보안장비 발주 계획에 조건으로 명시했다.

그러나 정작 보안 인증을 획득한 제품은 시장에 하나도 없는 상태였다. 그 결과 영상보안장비의 발주가 막히고 영상보안업체들의 매출이 급감하는 등 내수시장에 큰 혼선이 빚어졌다. 지난 3개월간의 복잡했던 상황을 본지가 단독 취재했다.

[사진=dreamstime]


지난해 연말 과학기술정보통신부(이하 과기정통부)와 방송통신위원회, 경찰청 등은 합동으로 IP 카메라 보안성 강화를 위한 ‘범부처 IP 카메라 종합 대책’을 마련해 추진한다고 밝혔다.

IP 카메라에 무단 접속해 영상을 불법 촬영·유포하는 사례가 수차례 발생해 사생활 유출 등에 대한 국민 불안이 확산되고 국가 안보가 위협받고 있다고 판단했기 때문이다. 이에 정부는 IP 카메라 제조·유통업체와 통신사업자, 학계 등 다양한 전문가 의견을 수렴해 제조·수입 단계부터 유통·이용 등에 이르기까지 IP 카메라 해킹사고를 예방하고 관련 영상보안 및 안전산업 육성을 병행하기 위한 개선과제를 마련했다.

이어 올해 초에는 공공기관에 도입되는 영상보안장비에 대한 보안인증도 추가해 보안인증을 받은 제품을 공공기관에서 도입하도록 했다. 그러나 아직까지 공공기관용 보안인증을 받은 제품이 없는 가운데 이같은 조치가 추진돼 업계의 우려가 높아지고 있다.

국정원발 공문으로 혼란에 빠진 공공 영상보안시장
“공공기관용 CCTV(IP 카메라·NVR) 보안기준이 마련돼 2018년 1월부터 인증을 시행하게 돼 알려드립니다. 각 기관에서는 향후 관련 장비 도입시 공공기관용으로 인증받은 TTA Verified Ver. 1 기준 제품으로 도입하시기 바랍니다.”

1월 30일 지방자치단체의 CCTV 통합관제센터와 공공기관 팩스에는 상위 기관인 국가정보원 국가사이버안전센터의 공문을 인용해 재배포한 이같은 내용의 공문이 접수됐다.

이 공문을 수신한 일부 지자체는 영상보안장비 도입을 위한 시방서에 한국정보통신기술협회(TTA)의 보안인증(IP 카메라와 NVR 보안 TTA Verified Ver.1 시험인증(이하 공공기관용 보안인증)) 조건을 명시해 공공조달을 진행하기로 했다.

▲(왼쪽부터) 공공기관 및 지자체에 발송된 1차 공문과 2차 공문[자료=본지 입수]


그러나 3월말까지 한 업체도 입찰에 들어오지 못했다. TTA 보안인증을 획득한 제품이 하나도 없었기 때문이다. 업계의 입장에서는 사실상 발주가 정지된 것이나 다름없었다.

공공기관에 보안인증을 받은 제품을 도입하라는 것은 ‘권고’ 사항이었지만 지자체의 담당자가 이를 ‘의무’ 규정으로 인식하면서 입찰을 진행하려 했지만 입찰을 진행하지 않은 것과 같은 상황이 2달 이상 이어졌다. 그 결과 국내 조달시장에서 활약해온 영상보안업체들의 매출은 급감했다.

이에 TTA는 3월 20일 관련 설명회를 진행하고 업계의 애로사항을 청취했다. 그리고 4월 11일에는 국정원의 후속 공문이 각 지자체와 기관에 발송됐다. 이 공문에는 아직까지 공공기관용 보안인증을 획득한 제품이 없으니 자체적으로 안전성을 확인하거나 운용하면서 인증 버전으로 업데이트하는 방안을 고려해 도입하라는 내용이 담겨 있었다.

이에 대해 한 지자체 공무원은 “2차 공문을 받고 보안인증을 ‘권고’ 수준으로 이해하고 있다. 선 장비 도입 후, 보안인증 업데이트를 생각하고 있다”면서 “보안인증을 획득한 장비가 나오면 도입을 먼저 고려할 수 있을 것”이라고 말했다.

보안인증에 대한 정부와 업계의 입장
업계는 한숨 돌릴 수 있게 됐지만 여전히 정부와 업계 사이에는 공공기관용 보안인증 도입에 대한 입장 차이가 남아 있다. 업계에서도 대승적인 관점에서 우리 영상보안 기술과 제품의 품질을 제고하고 안전성을 담보하는 인증제의 도입은 환영하지만 본격 도입 시점에 대한 아쉬움이 남는다는 것이다.

이제 막 인증제도를 도입하는 시점에서 본격화를 선언하기보다 인증제품이 어느 정도 확보된 후, 올해 하반기나 내년 상반기쯤 정부 공문이 하달됐더라면 상황을 받아들이기가 더 쉬웠을 것이라는 게 업계의 설명이다.

영상보안장비의 국내 최대 수요처인 정부의 입장이나 향후 방향에 대해서는 업계도 이해하고 결국 가야할 방향으로 받아들이고는 있다. 공공기관용 보안인증이 탄생하게 된 배경은 중국산 CCTV의 백도어 문제와 국내 CCTV 영상이 유출된 러시아 인세캠 사건 등이 정보 유출과 사생활 침해라는 관점에서 사회적 이슈가 됐기 때문이다.

백도어는 선의적(A/S)이거나 악의적인(감시 또는 스파이) 목적을 가진 문제이자 제조사의 보안의식 부재로 일어났고, 인세캠 사건은 비밀번호 미설정 또는 기본 비밀번호 사용 등에 따른 사용자의 보안의식 부재에서 출발한 사건이었지만, 공공기관용 영상장비가 해킹당할 경우 민간에서 사용하는 CCTV보다 파급효과가 엄청날 수 있다.

국가안보와 국민의 안전이 위협받을 수도 있기 때문이다. 정부는 이같은 문제를 사전 예방하기 위해 과기부와 TTA를 통해 지난 2년간 보안인증 마련을 위한 산학연 시험규격개발위원회를 통해 의견을 수렴하고 시험 규격을 만들어 2017년 말부터 ‘영상보안 시스템용 IP 카메라/NVR 보안’으로 시험·인증 서비스‘를 시작했다.

반년 전부터는 국정원도 여기에 참여하기 시작했다. 국정원이 참여하면서 보다 높은 수준의 보안인증인 ‘공공기관용 보안인증’을 도입하게 됐고, 인증 도입과 함께 인증을 획득한 제품의 사용을 권고하는 공문이 배포되면서 시장의 혼란이 초래됐다.

공공기관용 보안인증 도입 배경
공공기관용 보안인증은 TTA에서 맡고 있는 ‘CCTV 성능 시험·인증’ 서비스의 한 부분이다. CCTV 성능 시험·인증은 안전·재난 감시용 지능형 영상장비산업 육성 기반구축’ 과제로 진행되는 5개년 사업으로, 원래 지능형 영상장비 및 솔루션 관련 국내 제조개발사를 대상으로 기술개발 시험환경을 구축하고 인증제도를 마련하는 한편, 산업계 사업화 촉진을 지원하기 위해 만들어졌다.

연구시설과 장비 등 테스트베드를 구축하고 시험규격을 개발해 국내 영상보안 업계의 제품 성능과 상호운용성 등 기술경쟁력을 제고하고, 산학연관 네트워크를 통해 정보교류, 교육, 시장기술동향 수집, 해외진출 지원 등 산업계를 종합적으로 지원함으로써 중소기업인 국내 영상보안업체를 육성하고 저가의 외산 제품으로 인한 내수시장의 혼탁을 방지하는 것이 주요 내용이다.

이를 위해 한국인터넷진흥원(KISA)에서는 지능형 솔루션 성능시험 테스트베드를, 한국정보통신기술협회(TTA)에서는 CCTV 장비 성능시험 테스트베드를, 한국디지털CCTV연구조합(KDCA)에서는 산업계 종합지원체계를 맡았다.

당초 사업은 5년간 순차적으로 매년 3개의 시험규격을 개발해 규격 개발이 완료되면 시험장비도 도입해 인증을 바로 시작하는 것으로 설계됐다. 1차년도(2015)에는 HD급, 2차년도(2016)에는 풀-HD급, 3차년도(2017)와 4차년도(2018)에는 UHD급, 5차년도(2019)에는 센서융합형 영상보안장비 시험인증을 진행할 계획이었다.

그러나 최근 몇 년 새 CCTV 해킹과 백도어 문제가 주요 사회문제로 대두되면서 보안인증을 서둘러 추가하게 된 것이다. TTA에 따르면, 보안규격은 2016년부터 추진해 왔으며, 기존의 CCTV 성능 시험·인증에 보안규격을 추가하는 형태로 진행돼 2017년 말 규격이 완성됐다. 국정원은 자발적으로 공공기관용 영상보안장비에 보안인증을 해보자고 제안하면서 참여하게 됐다.

업계에 따르면 TTA 주도로 보안인증 규격이 만들어질 때만해도 강권하는 분위기는 아니였다. 하지만 국정원이 참여하면서 보안인증 기준이 크게 높아지고 도입도 빨라져 이번처럼 공공기관 보안인증을 확산시키는 단계에 도달하게 됐다. 국정원에서 배포한 공문은 활용 권고 차원에서 발신됐다.

다만 공문에 권고 부분이 ‘누락’되며 일부 지자체나 업계에서 의무 또는 강제 사항으로 받아들여지게 됐다. 이에 대해 TTA 관계자는 “공공기관용 보안인증은 모든 경우에 적용되는 것은 아니며 일부 필요없는 곳에서는 보안 요구를 강제할 필요가 없다. 도메인마다 상황은 다를 것”이라고 설명했다.

임의 인증이 어떻게 강제 인증이 됐나
CCTV 성능 시험·인증은 기업 및 수요처의 요구에 따라 수행하는 임의 인증이다. 2018년 4월 초 현재 기준 인증 현황은 풀-HD급 IP 카메라로 인증을 받은 업체가 15개사, 제품이 45개 모델(파생모델 포함)에 이르며, NVR로는 7개 업체와 26개 모델이, VMS로는 1개 업체와 모델이 인증을 받은 상태다. 공공기관용 보안인증을 획득한 제품은 아직 등장하지 않았다.

이 가운데 업계는 말 그대로 멘붕 상태에 빠져 있다. 우리 회사도 서둘러 인증을 받아야겠다는 분위기는 조성됐지만 선뜻 나서는 곳은 없는 상황이다. 인증규격 자체도 생소하고 보안기준도 높은 데다 인증획득까지 걸리는 기간도 길고 부담해야 하는 비용도 높아 주저하고 있다.

기존에 TTA 장비 성능에 대한 인증을 받아본 업체들은 TTA는 완벽한 준비가 된 상태라면 인증 획득까지 3주면 충분하다고 하지만, 경험상 인증 획득까지 5개월 이상씩은 걸렸다고 입을 모았다.

대부분이 중소기업인 국내 영상보안 제조사의 입장에서는 조건부 무료 서비스가 제공된다 해도 초과되는 경우 장비당 400만원씩 인증비를 지불하는 것도 큰 부담이다. 특히, 지금은 정부과제인데도 400만원을 지불해야 하는데 이후 비용이 오르면 어떻게 하느냐는 우려의 목소리가 높았다. 업계에 따르면, 일본의 경우 인증비용이 200만원으로 국내의 절반 수준이다.

합리적인 인증비용 책정을 위해 FTA(자유무역협정)의 원산지 규정과 같은 제도를 도입할 필요가 있다는 의견도 있었다. 부품별 원산지를 파악하고, 설계와 조립 등까지 면밀히 살펴 인증비용을 책정하면 특혜를 받거나 불이익을 받는 기업도 줄어들고 외산이 국산으로 둔갑하는 경우도 방지할 수 있다는 것이다. 이를 위해선 관련 부처가 함께 해결방안을 찾아야 한다.

도입 유예 통해 독점 방지 가능
이처럼 업계의 애로사항이 다양하다보니 즉각적인 도입을 유예해 달라는 업계의 목소리가 높아지고 있다.

장기적으로는 공공기관용 보안인증이 중소기업 제품에 대한 성능과 품질에 대한 신뢰도를 높여줄 것라는 데는 동의하지만, 이제 막 규격이 마련된 제도여서 이를 즉시 대응할 수 있는 업체가 드물고 인증기관인 TTA도 리소스가 부족하니 본격 도입까지 1년여의 시간을 달라는 것이다.

그렇지 않을 경우 업계는 공공기관용 보안인증을 받은 소수의 기업만이 시장을 선점해 뒤처지거나 문을 닫는 업체가 늘어날 수도 있다고 보고 있다.

한 업계 관계자는 “5~6년 전만해도 국내에서 수십억원 이상 매출을 하던 제조사가 150개나 있었다. 하지만 지금은 10% 수준인 15개사도 안 남아 있다. 같은 기간 거리의 CCTV 수는 엄청나게 증가했는데 업체는 줄었다는 것은 그만큼 외산이 국산으로 둔갑해 조달시장 깊숙이 들어와 있다는 것을 방증한다”면서 “우리 제조기반을 지키기 위해서 유예시간은 필수”라고 거듭 강조했다.

또 다른 업계 관계자는 “우수조달업체 가운데 OEM을 받아 턴키로 발주받는 경우가 많았지만 이번 공공기관 보안인증 도입으로 이같은 현상은 줄어들 수 있다”며 “앞으로의 방향은 2개로 예측된다. 조합 등 단체가 업계를 대변해 1년의 유예시간을 벌거나 정부부처의 강력한 드라이브로 인증제품이 수위계약을 맺음으로써 공급망에 변화를 가져 오든지…”라고 예상했다.

TTA에서도 국내에서 공공기관용 보안인증에 대응할 수 있는 업체는 손에 꼽히는 수준이라고 보고 있다. 그 때문에 국내 중소 영상보안업체를 지원하는 방안도 마련했다. 공공기관용 보안인증의 중요도가 높은 만큼 적극적으로 대응하겠다는 것이다.

공공기관용 보안인증 개발지원을 위해 2017년까지 유료로 제공하던 개발지원 시험을 2018년부터 전면 무료로 전환해 시험에 대비한 주요항목을 사전 테스트할 수 있게 하는 한편, 기업 문의에 적극 대응할 수 있는 전담인력을 배치하고 시험수요가 늘어나는 경우에 대비해 유기적으로 인력을 확충하고 시험시설도 확대할 계획을 세우고 있다.

현재의 CCTV 성능 시험·인증 대응팀은 5인 1팀으로 운영해 왔으나, 적체현상이 발생할 경우 TTA의 네트워크 보안인증 인력(30명)까지 힘을 보태면 적체현상 발생으로 인한 업계의 피해를 줄일 수 있다는 것이다.

이와 관련해서 업계에서는 인증기관을 TTA외 다른 기관으로 확대하거나, 자기적합성선언을 해 기간을 단축하는 온비프처럼 TTA도 이런 방향으로 가거나 비슷한 다른 방법을 동원해 인증 시간을 줄여달라는 의견을 내놓기도 했다.

CCTV 보안은 더 이상 선택이 아닌 필수가 되고 있고 이같은 흐름을 벗어나기는 어려울 것으로 보인다. 그러나 국내 영상보안 업계가 이같은 흐름 속에서 자생력과 경쟁력을 다질 수 있는 정부의 해법 마련이 필요할 것으로 보인다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)