세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[심층취재-2] 공공분야 CCTV 보안인증 논란, 3人3色 인터뷰
  |  입력 : 2018-04-26 11:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
박용범 TTA 소장, “CCTV 보안인증, 韓 기술제고와 국민안전 위한 길”
이영수 KDCA 이사장, “보안인증 획득 업체없이 빨라진 도입 이해 못해”
조태야 한국감시기기공업협동조합 이사장 “유예기간, 영상보안 中企 육성에 필수”


[보안뉴스 김성미 기자] 공공기관용 영상보안장비에 보안인증(IP 카메라와 NVR 보안 TTA Verified Ver.1 시험인증(이하, 공공기관 보안인증)) 도입을 두고 정부와 업계의 입장이 부딪히고 있다. 정부에서는 지난 1월 말 공문을 통해 공공기관에서 CCTV를 도입할 경우에는 TTA 보안인증을 획득한 제품을 도입하도록 권고했다. 그러나 아직까지 공공기관용 보안인증을 획득한 제품이 없는 가운데 공공기관의 발주가 일부 지연되고 있어 매출이 하락하고 있는 업체의 근심이 깊어지고 있다.

정부에서는 공공기관에서 사용하는 CCTV는 일반 시민의 생활과도 밀착돼 있어 이 카메라가 해킹당하면 민간에서 사용하는 CCTV보다 보안사고로 인한 파급효과가 더 크기에 빠른 도입을 추진한 반면, 업계에서는 본격 도입까지 유예시간이 더 필요하다는 입장이다.

이에 본지에서는 이 사안을 두고 인증시험기관인 한국정보통신기술협회(TTA)와 영상보안업계를 대변하는 단체의 대표자 2인을 만나 현황을 살펴봤다. 한국정보통신기술협회(TTA)에서 CCTV 보안인증 사업을 총괄하고 있는 박용범 TTA 정보통신시험인증연구소장과 이영수 한국디지털CCTV연구조합(KDCA)·첨단안전산업협회 이사장, 조태야 한국감시기기공업협동조합 이사장을 만나 주요 쟁점에 대한 입장을 들었다.

▲(왼쪽부터) 박용범 한국정보통신기술협회 소장, 이영수 한국디지털CCTV연구조합 이사장,
조태야 한국감시기기공업협동조합 이사장 [사진=보안뉴스]


먼저 CCTV 성능 시험·인증은 어떤 사업인지 소개해 주시기 바랍니다
이영수 KDCA 이사장
CCTV 성능 시험·인증은 과학기술정보통신부의 ‘안전·재난 감시용 지능형 영상장비산업 육성 기반구축’ 과제를 통해 진행됩니다. 이 과제는 지능형 영상장비 및 솔루션 관련 국내 제조개발사를 대상으로 기술 개발 시험환경을 구축하고 인증제도를 마련하는 한편, 산업계 사업화 촉진을 지원하는 것이 목표입니다.

연구시설과 장비 등 테스트베드를 구축하고 시험규격을 개발해 국내 영상보안 업계의 제품성능과 상호운용성 등 기술경쟁력을 제고하고, 산학연관 네트워크를 통해 정보교류, 교육, 시장기술동향 수집, 해외진출 지원 등 산업계를 종합적으로 지원하고 있습니다.

한국인터넷진흥원(KISA)에서는 지능형 솔루션 성능시험 테스트베드를, 한국정보통신기술협회(TTA)에서는 CCTV 장비 성능시험 테스트베드를, KDCA에서는 산업계 종합지원체계를 담당하고 있습니다.

박용범 TTA 소장 세계적으로 CCTV 등 영상장비 이용이 확대되고 기술 진화와 글로벌 경쟁이 가속화되는 가운데 국내 보안업체의 기술 경쟁력을 높이고 산업이 활성화되도록 지원하기 위해 만든 사업으로, 2015년 5월부터 5년간 수행하는 과제입니다.

이 사업을 통해 CCTV 시험환경을 구축하고 시험인증 서비스를 제공하며, 연차별로 시험대상 기기를 확대하고 있습니다. 시험규격은 산학연 전문가로 구성된 시험규격개발위원회를 통해 개발합니다.

TTA는 이렇게 만들어진 시험규격을 토대로 판정기준을 포함한 인증 기준을 마련하고 시험인증 서비스를 제공합니다. 인증을 받기 위해서는 인증기준에 명시된 모든 필수 시험항목을 통과해야 하며 통과한 제품은 TTA의 인증마크를 사용할 수 있는 권한을 갖게 됩니다.

‘CCTV 성능 시험·인증’의 기대효과는 무엇입니까
이영수
당초 계획은 CCTV의 해상도에 따라 HD, 풀-HD, UHD급으로 순차적인 시험규격을 만들고 성능시험 인증을 진행할 예정이었으나, 사업을 진행하는 과정에서 CCTV의 해킹과 영상유출 문제가 국내외적으로 크게 이슈가 되면서 영상보안장비 보안규격 개발이 포함됐습니다.

당시에도, 그리고 현재도 그렇지만 영상보안 장비 분야는 일관된 성능 기준이 없고 시험환경도 제각각이어서 개별 제조사 간에 검증되지 않은 자가선언적 스펙이 난립했습니다. 이에 외산 저가제품의 국내 시장 잠식을 막고 산업계 위축을 방지하려면 단일한 성능기준을 세우는 것이 필요하다고 봤습니다.

기대효과라면 산학연 협력을 통해 성능기준과 시험방법을 도출하고 시험 인프라를 구축해 개발 단계부터 제품 성능을 지속적으로 테스트함으로써 국내 CCTV의 품질향상과 기술력을 제고하고 인증받은 양질의 제품이 시장에서 활용되면 구매자의 신뢰를 확보할 수 있다는 점입니다.

업계에서는 CCTV 성능 시험·인증에 최근 추가된 보안인증을 공공기관 납품을 위해서 반드시 갖춰야 하는 강제인증으로 받아들이고 있습니다
박용범
모든 CCTV 관련 TTA 인증은 법적 강제가 아닌 업체 또는 수요처가 선택에 의해 받는 임의 인증입니다. 올해부터 추가 실시되는 공공기관용 보안인증도 임의 인증입니다. 다만 이 인증은 공공기관의 CCTV 관련 제품 도입시 ‘권고’되는 사항입니다. 수요처인 도입 기관의 판단에 따라 결정되는 사항이라고 보면 됩니다.

해외에도 공공기관용 보안인증과 유사한 인증이 있는지요
박용범
오는 5월 25일부터 유럽 전역에서 시행되는 일반 개인정보보호법(GDPR : General Data Protection Regulation)은 CCTV를 포함한 개인정보보호 관련 규제입니다. 이를 위반할 시 연 매출의 4% 또는 2,000만유로 중 높은 금액을 벌금으로 부과받게 됩니다.

일본에서는 JSSA(Japan Security System Association)에서 RBSS(Recognition of Better Security System) 시험규격으로 카메라 및 저장장치의 기본적인 기능·성능을 시험·인증합니다. 중국에서는 CCC(China Compulsory Certification) 제도를 법적인 강제 사항으로 운영하는데, CCTV는 중국 국가 규격인 GB 28181을 근간으로 상호운용성에 대한 시험인증이 시행됩니다.

TTA 인증 대응 현황과 보안인증 추가에 대한 업계의 반응은 어떻습니까
박용범
기술력 있는 기업들은 2016년부터 시작한 장비 품질 및 상호운용성 시험인증에 대응하고 있으나, 보안인증은 인증시험을 받을 수 있는 기업이 많지 않은 것으로 파악됩니다.

TTA는 2017년부터 민간의 보안 요구사항을 반영한 ‘영상보안 시스템용 IP 카메라/NVR 보안’으로 시험·인증 서비스를 시작했지만 아직까지 인증을 받은 곳이 없으며, 공공기관의 보안 요구사항을 반영한 ‘공공기관용 보안인증’도 기업들이 이제 막 개발을 시작하는 단계에 있습니다.

조태야 감시기기조합 이사장 충분한 준비기간 없이 공공기관 보안인증 도입이 바로 시행돼 공급자인 업계나 수요자인 공공기관에서도 혼란스럽습니다. IP 카메라의 잇따른 해킹으로 인해 CCTV 보안이 강화돼야 한다는 이유로 TTA가 2018년 1월부터 공공기관용 보안인증을 시작했습니다. 국가정보원 국가사이버안전센터가 각 관계부처에 해당 내용의 공문을 전달에 각 지자체와 공공기관까지 안내된 상태입니다.

향후 공공기관에서는 해당 인증을 획득한 제품을 의무적으로 활용할 것으로 예상됩니다. 3월 현재 해당 인증을 획득한 제품이 없어 공공기관의 발주가 지연되고 있으며, 이로 인해 기업의 매출이 심각한 영향을 받고 있습니다.

인증기준도 광범위해 절대적인 준비시간이 필요하며, 인증 대응에 따른 비용증가를 납품단가에 반영하기도 어려워 업계의 고민이 깊어지고 있습니다. 업계의 준비가 미흡한 상황에서도 보안인증 도입을 서두르는 이유가 궁금합니다. 업계도 보안인증이 도입돼야 한다는 것에는 이견이 없습니다만, 준비시간이 필요하다는데 한목소리를 내고 있습니다

박용범 영상보안 시스템에 대한 보안은 지난해 IP 카메라 해킹이 큰 이슈가 되면서 주목받게 됐습니다. 공공기관용 영상보안 장비에 추가된 보안인증 항목은 대부분의 공공기관에 도입되는 인터넷 전화 및 네트워크 장비에 이미 시행되고 있는 항목으로 해당 분야에서는 수년전부터 널리 적용돼 왔습니다. IP 카메라 역시 네트워크로 접속되는 장비라는 점에서 지금에서야 보안인증을 도입하는 것은 뒤늦은 감이 없지 않습니다.

이영수 CCTV 성능 시험·인증을 시작할 당시 계획도 성능 시험·인증을 5년간 준비해서 사업종료 시점에 추진하는 형태는 아니었습니다. 1차년도에 HD급, 2차년도에 풀-HD급, 3차년도에 UHD급 같은 형태로 순차적으로 매년 3개의 시험규격을 개발하도록 했고, 규격 개발이 완료되면 시험장비를 도입해 바로 인증을 시작했습니다.

다만 공공기관 보안인증은 인증 대응을 막 시작하려는 찰나에 정부 공문이 일찍 하달돼 문제가 됐습니다. 국정원이 참여하면서 보안인증 기준이 높아지고 공공기관 도입도 빨라진 상황입니다. 인증제품이 어느 정도 확보된 상태에서 올해 하반기나 내년 상반기쯤에 정부 공문이 하달됐더라면 하는 아쉬움이 큽니다.

조태야 CCTV 성능 시험·인증은 제품의 신뢰도와 상호호환성 향상을 위해서 품질과 호환성을 검증하는 규격을 제정해 검증된 제품을 시장에 공급코자 추진된 사업이었습니다. 한데 최근 CCTV의 잇따른 해킹과 중국산 제품의 백도어 문제가 발생하면서 보안인증규격을 제정해 검증된 제품을 시장에 공급코자 진행된 것으로 알고 있습니다.

1월 30일자 국정원발 공문에 공공기관은 TTA CCTV 보안인증을 갖춘 제품을 도입하라는 내용이 담기면서 업계의 발등에 불이 떨어졌습니다. 공공기관 발주가 다 정지됐다는 일부 업체의 하소연도 있었습니다.

이영수 아직까지 보안인증을 받은 제품이 없는 상황에서 공공기관이 제안요구사항으로 인증서를 요구했다면 현재로서는 납품 가능한 업체가 없기 때문에 업계에서 우려를 표하고 있는 것입니다. 3월 20일 TTA 주최로 이와 관련된 설명회가 진행됐는데 당시 제기된 주요 이슈는 3가지였습니다.

첫 번째는 인증비용입니다. 모델별 인증비용으로 300~400만원이 소요돼 제조사마다 공공기관에 납품할 모델 수가 많을수록 큰 비용 부담이 불가피하다는 것입니다. 파생제품에 대한 규정도 미흡합니다. 국내 영상보안 업계는 대부분이 중소기업으로 투입 인력과 예산이 한정적이라 부담이 더 큽니다.

두 번째는 인증을 받기까지 걸리는 시간입니다. 인증시험을 신청해도 대기시간이 있고 시험과정에서 문제가 있을 경우 수차례 수정 및 재시험을 거쳐야 해 소요시간이 길어질 수 있습니다. 인증을 담당하는 기관도 TTA 하나뿐이고 시험시설이나 인력도 부족해 인증을 받는데 얼마나 시간이 소요될지 예측할 수 없다는 것을 크게 우려하고 있습니다.

세 번째는 수요처에서 인증 제품을 납품받는 시점입니다. 4월 초 기준 공공기관용 보안인증을 받은 기업(제품)이 없는 상황인데, 국정원 공문에 근거해 정부부처에서 2월 초부터 해당 인증제품을 사용하라는 공문을 하달한 것은 이해하기 어렵습니다.

조태야 저희 조합의 경우 1월 30일자로 배포된 공문을 통해 뒤늦게 공공기관용 보안인증 추가 사실을 파악하고, TTA 설명회 당일 별도의 간담회를 요청해 조합 회원사들의 의견을 전달했습니다. 당시 나온 여러 이슈 가운데 TTA 인증 인프라 문제는 가장 뜨거운 화두였습니다.

확인된 바로는 TTA의 인증 담당인력(5명)이나 시험 인프라가 턱없이 부족한 상황입니다. 공공기관 담당자들이 공공기관용 보안인증 제품 도입을 사실상 권고가 아닌 강제로 받아들이고 있어 제조업체의 관심이 집중되고 있는 상황에서 TTA 인증시험을 신청할 경우 심각한 적체 현상이 발생할 것으로 예상하고 있습니다.

저희 조합이 파악하고 있는 영상보안 분야의 직접생산업체 수만 전국 1,000여개사에 달합니다. 1개 업체당 최소 1개에서 최대 수십개의 제품을 생산하는데, 1개 업체가 2개 제품만 인증을 신청한다해도 2,000여개에 달해 TTA에서 제시하는 3주내 처리가 어려울 겁니다. 따라서 TTA외 시험기관 확대나 외부인증기관과의 협력을 통한 시험기간 단축 방안과 시험기간 운용에 대한 세부적 기준이 마련돼야 합니다.

감시기기조합에서는 뒤늦게 보인인증을 알게 되셨다고 했는데 관련해 대정부 건의사항이 있으시다면
조태야
위에서 이영수 이사장이 언급한 비용과 기간 외에 두 가지를 더 첨언하고 싶습니다.

첫 번째는 규격에 대한 기술적인 문제입니다. 기술적으로는 글로벌 영상보안 산업체 포럼인 온비프(ONVIF : Open Network Interface Forum) 표준과 상이한 내용으로 인해 수출용과 국내용 제품 규격이 달라 업계에 부담이 됩니다.

온비프는 6개월마다 코어 스펙 버전이 바뀌어 그때마다 카메라와 NVR 펌웨어가 업데이트돼야 합니다. 수요자의 요구에 따라 기능 추가나 펌웨어 업데이트가 빈번하게 발생하는 상황에서 변경될 때마다 TTA 보안인증을 받는 것은 불합리합니다.

최소 비밀번호 제한이 한국인터넷진흥원(KISA)은 8자리, TTA는 9자리로 달라 통일할 필요도 있습니다.

두 번째는 공공기관의 보안등급에 따라 보안인증을 차등 적용하는 것이 필요하다는 것입니다.

업계에서는 TTA 리소스 부족에 따른 적체 현상을 우려하는데 이에 대한 TTA의 입장은 어떻습니까
박용범
보안성능 시험인증을 받기까지 소요되는 시간은 기업의 준비가 완벽하다는 가정 아래 약 2주가 소요될 것으로 예상합니다. 그러나 지금까지 접수된 시험 신청 현황을 보면 시험을 진행할 수 있는 기업이 몇 안 되는 것으로 파악됩니다.

TTA는 공공기관용 보안인증의 중요도가 높은 만큼 적극적인 대응을 하려고 합니다. 기업문의에 적극 응대하고 시험 수요가 많은 경우 유기적으로 인력을 확충하고 시험시설도 확대할 계획입니다.

현재 CCTV 성능 시험·인증 대응팀은 5인 1팀으로 구성해 운영해 왔으나, 적체현상이 발생할 경우 TTA의 네트워크 보안인증 인력(30명)까지 힘을 보탤 수 있을 것으로 생각합니다. 현재까지는 시험을 미리 신청한 뒤 개발을 진행한 후 시험을 받으려는 경우가 대부분이어서 적체 없이 서비스가 제공되고 있습니다.

현재까지는 전체 보안 성능품질 시험 수요를 파악하기 어려우나 향후 시험 수요가 확대되는 경우에도 혼란이 없도록 관계기관과 관련 사항을 검토하고 있습니다. 이밖에도 업계의 빠른 적응을 위해 공공기관용 보안인증 개발지원과 인증시험 서비스를 제공하고 있습니다.

기업의 개발기간 단축과 비용 절감을 위해 2017년에는 유료로 제공하던 개발지원 시험을 2018년에는 전면 무료로 전환해 시험에 대비한 주요항목을 사전 테스트할 수 있어 기업들에게 도움이 될 것으로 기대하고 있습니다.

또한, 기존의 ‘특수한 상황으로 모델명이 변경되는 하드웨어(HW)와 소프트웨어(SW)가 동일한 모델’인 파생모델 인증 유형과 ‘기인증 모델과 동일한 SW를 사용하는 모델’의 개념을 확대 도입하고 일부 시험을 면제해 시험기간과 비용을 절감할 수 있는 방안도 마련했습니다.

인증 비용은 현재의 외국기업, 대기업, 중소기업 분류보다 세분화해 책정할 필요는 없는지요
이영수
세분화가 필요하다고 봅니다. 자유무역협정(FTA)에 따르면 수입국에서 한국산으로 인정을 받으려면 부품의 몇 %가 한국산이어야 한다는 규정이 있습니다. 우리도 이같은 규정을 정하고 이에 따라 인증비용을 책정하면 특혜를 받거나 불이익을 받는 기업이 줄어들 것이라 생각합니다.

과학기술정보통신부와 행정안전부, 중소벤처기업부, 조달청 등 관련 부처가 칸막이를 없애고 함께 해결방안을 찾는다면 현재의 직접생산제도와 조달제도를 보완할 수 있는 방법을 마련해 국내 기업의 피해도 줄이고 품질이 담보된 제품도 도입할 수 있을 겁니다.

지금 제도로는 저가 저품질의 외산 제품이 한국산으로 둔갑해 조달에 들어가도 방어하기 어렵습니다. 미국의 경우 철저하게 공공조달 제품과 서비스를 분리발주하고 있으나 우리는 말뿐인 분리발주고 제조기업들이 공공조달시장에서 배제되고 있어 안타깝습니다.

아직 보안인증을 받은 기업이 없는 가운데 일부 기업이 먼저 인증을 받아 시장을 선점할까 우려하는 모습은 포착됩니다. 보안인증은 시대적 요구사항이 아닐까요
조태야
장기적으로 볼 때 TTA 보안인증이 중소기업 제품에 대한 성능 및 품질에 대한 신뢰도를 높여줄 것으로 생각합니다. 그러나 중소기업의 경우 과도한 비용과 시간 소요로 인한 경영악화가 예상되며, 신기술 개발의 저해와 시스템 다양화 지연 등에 대한 우려가 되는 것도 사실입니다.

공공기관용 보안인증을 받는데 상당한 기간이 소요될 것으로 예상되다 보니 먼저 인증을 받은 업체와 인증을 받기 위해 장기간 대기하는 업체간에 공정한 경쟁이 이뤄지지 못하는 상황도 생길 겁니다. 인증받은 제품이 소수인 상황에서 공공기관이 구매를 진행할 경우 의도치 않게 소수의 일부 인증 획득 업체만 시장에 참여하는 독과점 현상이 발생할 수도 있습니다.

4월 11일자로 보안인증을 오남용하지 말라는 후속 공문이 내려왔습니다. 업계의 숨통이 좀 트일까요
이영수
업종에 따라 다를 겁니다. 국내 제조업체의 입장에서는 처음엔 다소 어려워도 보안인증은 결국 진행해야 한다는 입장입니다.

앞서 언급한 애로사항이 해소되면 의미있는 결과가 나올 겁니다. 공공기관용 보안인증은 장비의 보안성을 상당히 강화시킨 규격으로 자체개발 역량 없이 외산부품을 수입해 조립·판매만 하는 기업은 해당 인증을 받기 어려울 것으로 생각됩니다. 이에 따라 자체 개발역량을 갖추기 위해 노력하는 국내 기업이 약간의 혜택을 볼 수 있지 않을까 기대합니다.

다만 인증제품이 일정규모 이상 확보될 때까지 1년 정 도 유예기간은 필요합니다.

마지막으로 하고 싶은 말씀이 있으시다면
박용범
저품질, 저가 제품으로 혼란스러운 국내 영상보안 시장에 고품질의 상호호환 가능한 제품을 공급하면 선순환 생태계를 만들고 산업 활성화를 이룰 수 있을 것입니다. 이런 목적으로 TTA의 시험인증 서비스가 시작됐습니다.

기업의 기술력 제고와 산업 활성화, 국민 생활안전을 위해 마련된 ‘CCTV 성능 시험·인증 사업’을 통해 영상보안 기업들이 조기에 기술력을 확보하기를 바랍니다.

조태야 공공기관용 보안인증은 제품 스펙에 대한 검증과 상호호환성 기능에 대한 검증, 외산제품에 대한 보안성 확인 등이 이루어진다는 긍정적인 측면이 있으나 문제는 충분한 업계의 논의가 없는 상태에서 시행되다 보니 현재 해당 인증을 획득한 업체가 전무한 상태에서 공공기관에서는 해당 인증서를 요구하는 문제가 발생하고 있습니다. 이러한 상황이 장기화 될 경우 오히려 내수시장에 혼란이 초래될 수 있으므로 거듭 강조하지만 현장적용 유예기간이 필요합니다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)