일괄평가제 효과는 크나, 민간평가기관은 아직 제 역할 못해
◆ 일괄평가제 도입 효과 '톡톡히 봐'= 일괄평가제 도입으로 인증 대기 및 심사 시 소요되는 시간과 불필요한 인증비용이 줄어드는 등 큰 효과를 보고 있다는 게 보안업계의 평가다.
일괄평가제는 동일한 보안기능을 지닌 보안 장비에 대해 일괄적으로 인증을 받을 수 있도록 하는 제도이다. 하나의 SW에 일반적으로 여러 플랫폼이 존재하는데, 제도 변경 전에는 플랫폼 수량만큼 계약을 했기 때문에 이에 따른 평가비용(KISA의 경우: 2,500만원 * 플랫폼수)이 발생했다. 따라서 일괄평가제도 도입 후 하나의 제품명으로 평가가 가능해져 평가비용 뿐만 아니라, 제품 관리 측면에서도 효율성이 높아졌다는 게 보안업체들의 설명이다.
보안업계 한 관계자는 "일괄평가제를 통해 과거 HW 모델별로 인증을 받을 때 불필요하게 발생했던 인증비용이 줄어 든 동시에 인증 대기 및 심사 시 적체 현상이 줄었다"고 말했다.
◆ 민간평가기관 도입, '아직 큰 효과 못 봐'= 과거 한국정보보호진흥원(KISA)에서만 CC인증평가가 이뤄졌으나, 지난해 한국산업기술시험원(KTL)과 한국시스템보증(KOSYAS)이 국정원으로부터 민간 인증평가기관으로 승인받아 CC인증평가를 진행하고 있다.
한국산업기술시험원과 한국시스템보증은 각각 지난해 5월과 9월에 인증평가 작업에 착수했으나 아직 첫 인증완료 제품을 뽑지 못하고 있는 상황이다. 장기적으로는 업계에 도움이 되겠지만 가시적인 효과가 나오려면 조금 더 지켜봐야 할 것 같다는 게 업체들의 입장이다.
보안업체들은 "민간평가기관의 도입은 평가적체 해소라는 취지에서 시작했으나, 아직까지 큰 성과를 거두고 있지 못하다"며 "오히려 업체 입장에서는 3개로 늘어난 평가기관을 전부 비교하면서 어디가 빠른지를 봐야 하는 부담까지 생기게 된 게 사실"이라고 밝혔다.
또한 평가 수요 증가 추이를 잡을 수 있도록 평가기관의 평가인력이 추가 확충되고, 평가 수행에 투자되는 비용(기간)의 효율적인 지출을 위해 평가 방법(기준)의 융통성 있는 적용 방안 모색 및 현실적인 교육체계가 마련되어야 한다고 강조했다.
한국정보보호협회 박동훈 회장은 "평가기관과 마찬가지로 CC인증을 신청한 보안업체들 역시 CC인증에 필요한 인력을 구하기가 어렵고, 인증비용과 인증을 받는데 소요되는 기간도 각각 1억원, 1년정도다 보니 보안업체 입장에서 여기에만 매달리기 너무 어려운 게 현실"이라며 "협회차원에서도 비용과 기간을 단축시킬 수 있는 방안을 지속적으로 찾고 있다"고 전했다.
관련기사
김정은 기자
jekim@itdaily.kr