■ 中 보안 강제인증제…IT 기술유출 비상<br>민간부문 전 IT기기로 적용대상 확대 가능성<br>對中수출도 감소 우려<br>뚜렷한 대책없어 속앓이<br>현지진출 보안업체는 사업철수도 고민
중국이 오는 5월부터 정보기술 보안 의무인증(IT Security China Compulsory CertificationㆍISCCC) 제도를 시행하기로 함에 따라 국내 IT기업에 비상이 걸렸다.
최근 중국 기업들의 기술추격이 만만찮은 상황에서 IT기업 경쟁력의 핵심 원천인 '소스코드'가 공개될 경우 국내 기업들은 사실상 빈껍데기로 전락할 가능성이 높기 때문이다. 이에 따라 해당 기업들은 정확한 내용파악에 나서는 등 분주한 움직임을 보이고 있다. 하지만 중국 정부의 시행 의지가 워낙 강해 국내 업체들은 별다른 대응책을 마련하지 못한 채 전전긍긍하고 있다.
◇소스코드 공개 의무화 "핵심기술 내놔라"=이번 ISCCC의 핵심은 '소스코드 의무공개'라고 할 수 있다. 소스코드란 소프트웨어를 만들 때 어떤 방식으로 만드는지를 한눈에 볼 수 있는 일종의 설계도면과 같은 것이다. 이번 조치로 중국에 현지법인을 설립해 제품을 공급하거나 중국으로 관련 제품을 수출하는 모든 기업들은 제품 개발과정부터 소스코드까지 모두 공개해야 한다.
업계가 우려하는 것은 소스코드만 확보할 경우 약간의 기술력만 가지고 있는 기업이라면 어디서나 힘들이지 않고 똑같은 제품을 만들 수 있다는 점이다. 중국 기업들이 우리나라 IT기업들의 핵심 기술을 힘들이지 않고 손에 넣을 수 있다는 얘기다. 예를 들어 삼성전자 스마트폰의 소스코드를 가져가 중국판 옴니아를 제조할 수 있고 안철수연구소의 바이러스 백신 'V3'도 어렵지 않게 만들 수 있게 되는 것이다.
특히 중국 정부에 제출하는 소스코드가 민간기업에 넘어가지 않는다는 보장이 없다는 면에서 사태의 심각성이 있다.
현재는 정부 발주물량과 13개 정보보안 제품에 대해서만 우선 적용하지만 앞으로 민간 부분의 전 IT기기로 확대될 가능성이 있다는 점도 국내 기업들이 우려하는 대목이다.
정길현 지식정보보호산업협회 부장은 "국내 기업이 전시회만 나가도 불과 며칠 뒤 복제품이 나오는 데가 중국"이라며 "이번 조치는 아예 현지 진출 기업들에 '껍데기만 남기고 속을 완전히 꺼내 보이라'는 것과 같다"고 우려했다.
◇대중 수출 크게 위축될 듯=국내 업체들의 대중 진출도 한층 힘들어질 것으로 예상된다. 현재 우리나라 IT기업들은 국내에서 보안인증을 받게 되면 미국이나 일본ㆍ유럽 등에서 따로 인증을 받을 필요가 없다. 상호 인증이 가능하기 때문이다.
하지만 ISCCC제도가 도입되면 얘기가 달라진다. 중국이 자국 기준으로 제시하는 보안인증을 따로 받아야 하기 때문이다. 특히 인증기준이 자국 기업들에 유리하게 만들어질 경우 국내 기업들의 진출은 힘들어질 수밖에 없다.
지난해 우리나라 IT기업들의 대중 수출액은 전년보다 2.7% 증가한 501억달러(현재 환율 적용 약 55조6,000억원)에 달한다. 하지만 강제인증이 IT기기 전 분야로 확대될 경우 수출이 크게 위축될 수밖에 없다. 특히 88억7,000만달러에 달하는 휴대폰은 적용대상이 확대될 경우 1순위로 꼽히는 분야다. 그만큼 우리나라의 대중 수출에 심각한 타격이 예상되는 것이다.
◇IT업계 뚜렷한 대책 없어 전전긍긍=문제는 중국의 이러한 행보에 대해 국내 업체들의 대응이 쉽지만은 않다는 점이다. 중국 정부가 미국과 일본 등의 강력한 반대에도 불구하고 제도 도입을 강행할 만큼 시행 의지가 강하기 때문이다.
중국 정부의 강제인증제도 시행 소식이 전해지면서 삼성전자와 LG전자 등 국내 IT기업들은 바짝 긴장하고 있다. 강제인증 대상이 휴대폰ㆍTV 등으로 확대될 경우에는 중국 사업에 치명상을 입을 수도 있기 때문이다. 하지만 현지 소식을 접하는 것 외에 뚜렷한 방안을 내놓지 못하고 있다.
실제로 삼성전자는 현지법인을 통해 중국 정부에 구체적인 내용을 문의하며 상황파악에 나서는 등 촉각을 곤두세우고 있다. LG전자 역시 중국법인을 통해 최근 중국 정부에서 제시한 가이드라인 등을 입수해 검토작업을 벌이고 있다.
업계의 한 관계자는 "지난해 중국이 강제인증 대상을 IT기기 전반으로 잡은 바가 있기 때문에 사태 추이를 예의 주시하고 있다"며 "적용 대상과 범위를 확대할 가능성도 적지 않아 대책마련이 필요하다"고 지적했다.
당장 5월1일부터 13개 분야에서 강제인증을 받아야 하는 보안업계는 뚜렷한 해결방안을 찾지 못해 안절부절 못하고 있다. 특히 안철수연구소ㆍ어울림정보통신ㆍSGA 등 중국에 현지법인을 둔 보안업체들은 중국사업 철수 여부까지 고민해야 할 정도로 심각한 상황이다.
보안업계의 한 관계자는 "현재는 현지법인을 통해 사태추이를 지켜보는 단계"라면서 "상황에 따라 다른 판단도 해야 하는 것 아닌가 하는 생각이 든다"며 한숨을 토했다.
