외교통상부가 내년 본격화될 전자여권 사업에 국내 보안 기술 현황과 동떨어진 기준을 내세워 관련업계가 속을 태우고 있다.
전자여권은 비접촉식 스마트카드 기능의 IC칩을 내장한 새로운 형태의 여권. 여권에 내장된 칩에는 사용자의 개인정보를 비롯한 바이오인식 정보가 대거 담겨 있는 것이 특징이다.
이런 점을 감안해 외통부는 보안상의 이유로 전자여권 사업 제안요청서에 IC칩과 칩운용시스템(COS)에 국제공통평가기준(CC)인증을 획득한 제품을 도입하기로 명시, 지난 9월 1차 우선협상대상자로 LG CNS를 선정했다.
하지만 LG CNS는 인피니온, 젬알토 등 외산 솔루션을 선택, 결국 1차 사업자 선정에서 국내 업체가 배제당하는 결과를 초래했다. 국내 업체의 경우 해당 부분에 CC인증을 받은 제품이 없기 때문이다.
◆외통부 요구하는 EAC CC인증 획득한 업체 없어
외통부는 전자여권 칩 OS에 EAC(Extended Access Control) CC인증 획득을 요구하고 있다. EAC는 전자여권 IC 칩 내 지문, 홍채와 같은 민감한 바이오 정보에 대한 접근 권한을 인가된 사용자에게만 부여하기 위한 접근통제 매커니즘으로 기존 BAC(Basic Access Control) 보다 향상된 기술을 필요로 한다.
하지만 국내 업계에는 EAC는 커녕 BAC에 대한 CC인증을 획득한 제품도 없다. 사정은 외산 업체도 마찬가지. 현재 일부 외산업체만이 독일 평가기관인 BSI에서 EAC CC인증 획득을 기다리고 있는 처지다. 이 외산업체는 내년 3월까지 CC인증을 획득하고 4월부터 납품을 시작할 예정이다.
규모가 수백억원에 달하는 국가 기반 프로젝트고, 향후 시장 가능성이 열린 분야라 CC인증 평가를 수행하는 한국정보보호진흥원(KISA)은 제품별 세부평가기준인 보호프로파일(PP) 만들기에 한창이다.
하지만 이 역시 쉽지 않다. 외통부가 우리나라 전자여권용 제품을 만들 수 있는 구체적인 스펙을 제시하고 있지 않아 PP 작업이 연기되고 있기 때문. 구체적인 기준이 없는 상태에서 PP를 만들어봐야 무용지물로 전락할 가능성이 높기 때문에 현재로선 스펙 제시가 시급한 상황이다.
이에 대해 외통부는 "현재 한국정보보호진흥원과 PP를 위한 구체적인 협의를 진행중"이라고 말했다.
업계 관계자는 "외통부가 국내 보안 현황 고려없이 전자여권 사업 조기 진행을 위해 무리하게 추진하고 있다"며 "국내에서는 PP조차 만들어지지 않은 상황에서 외산 업체가 EAC CC인증을 획득할 경우 내년 하반기 진행되는 2차 사업자 선정에서 국내업체는 또 다시 고배를 들 수밖에 없을 것"이라고 말했다.
서소정기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기