국가정보원이 공공기관에 납품하거나 국외 수출을 하려는 보안업체가 반드시 받아야 하는 보안 인증 권한(보안 적합성 검사)을 쥐고 있으면서 외국 해킹 집단에 이를 무력화시켜 달라고 요구한 행태를 두고 '고양이한테 생선을 맡긴 꼴'이라는 비판이 제기되고 있다. 현재 국정원은 국내 업체가 생산하는 보안제품에 대한 국제공통평가기준(CC) 인증의 심사 권한을 갖고 있다. 이 인증은 국내 보안업체가 공공기관 등에 정보보호 관련 제품을 납품하거나 국외에 수출하기 위해 반드시 받아야 하는 것으로, 국정원은 이 과정에서 해당 프로그램의 설계도 격인 '소스코드'까지 파악할 수 있다.

그런데도 국정원은 지난 2월3일 이탈리아 보안업체 '해킹팀'한테 국내의 대표적인 모바일 백신 프로그램인 안랩의 '브이스리(V3) 모바일'을 보내 "브이스리가 원격제어시스템(RCS)의 공격을 감지하니 살펴봐 달라"고 요청했다. 브이스리의 방어막을 '뚫어 달라'는 요구다.

이런 인증 업무는 지난해 10월까지 오롯이 국정원 국가사이버안전센터의 권한이었다. 이후에는 인증 업무가 미래창조과학부로 이관됐지만 보안적합성 검사, 암호모듈 검증 등은 여전히 국정원의 권한이다. 박주민 변호사는 "국정원은 인증 업무를 통해 국내 모든 보안 프로그램에 대한 약점을 확인할 수 있는 위치에 있다"며 "이번 사건으로 국내 보안 프로그램 인증제도가 사실상 고양이에게 생선을 맡긴 것과 같은 모양새가 됐다"고 짚었다.

국정원이 국내 보안업체들의 영업행위를 사실상 방해한 것임에도, 관련 기업들과 보안전문가들이 아무런 문제 제기를 못하고 있는 건 국정원이 보안 관련 분야에서 '슈퍼 갑'의 지위에 있기 때문이라는 분석이다. 돈줄과 인맥을 틀어쥐고 전문가 그룹에도 영향력을 행사하는 국정원을 중심으로 일종의 '보안마피아'가 형성돼 있다는 지적도 나온다.

실제 최근 '국정원 해킹 프로그램 구입 사건'에 대해 국내 보안업계가 보인 행태는 이례적이다. 이탈리아 해킹팀의 내부 자료가 유출돼 아직 알려지지 않은 취약점을 이용한 '제로데이 공격' 방법이나 각종 해킹 수법들이 공개돼 보안위기 상황에 처해 있는데도 국내 보안업체와 전문가들은 사실상 침묵하고 있다. 2009년 7·7 디도스 대란, 2011년 농협 전산망 마비 사태, 2014년 3·20 사이버테러 등 각종 보안위기 상황이 있을 때마다 안랩, 하우리 등 국내 보안업체들이 앞장서서 상황을 설명해주고 대책을 마련하던 모습과도 상반된다.

이름을 밝히지 말아 달라는 20년 경력의 보안업체 임원은 "업계에서 국정원이 지니고 있는 영향력은 막강하다"며 "보안솔루션에 대한 보안적합성 검사를 국정원이 수행하는데, 국정원이 특정 업체의 기술에 대해 문제가 있다고 지적하면 그 업체는 공공기관에 더 이상 납품할 수 없게 되고 회사가 아예 문을 닫을 수도 있다"고 말했다. 또다른 보안회사 임원도 "지금은 국정원 눈치를 보느라 어떤 보안기업도 이탈리아 해킹팀과 관련한 이야기를 할 수 없는 상황"이라며 "국정원과 관계가 나빠지면 정부와의 관계는 물론이고 공공기관, 기업까지 영업 활동에 어떤 영향을 받을지 알 수 없다"고 털어놨다.

연구소나 대학에 적을 둔 전문가들 역시 국정원에 날을 세우기 어려운 구조다. 학계 사정에 밝은 한 보안전문가는 "교수들에게 국정원은 가장 큰 고객이다. 보통 공공기관에서 발주하는 프로젝트가 5000만원 정도인 것에 비해, 국정원 프로젝트는 수억 단위로 규모가 크다. 게다가 보안각서를 쓰기 때문에 외부에 공개되지도 않고 학교에도 보고하지 않는다. 교수들 입장에서는 국정원과 좋은 관계를 유지해야만 지속적으로 프로젝트를 수주할 수 있다"고 설명했다.

이명박 정부 시절 집중 육성된 고려대 정보보호대학원은 관련 인맥의 산실로 지목된다. 또다른 보안전문가는 "일선 업체는 물론 국정원, 경찰, 검찰, 군의 사이버보안 업무 담당자들이 이곳 출신으로 채워지면서 국내 보안업계는 고대 정보보호대학원이 평정했다"고 말했다. 임종인 청와대 안보특보가 이 대학원 교수 출신이다. 현재 이곳에 적을 둔 많은 전문가들은 언론 인터뷰 등을 통해 '아르시에스가 테스트용이다', '의혹 제기가 국익에 도움이 되지 않는다'는 국정원 주장에 힘을 실어주고 있다.