[아이티데일리] 정부가 공통평가기준(CC)인증 제도 개선을 추진하고 있음에도 업계에서는 인증기간에 대한 불만이 여전한 상황이다. 적체 현상 해소를 위한 개선에 더욱 속도를 내야 한다는 목소리가 나오고 있는 것. CC인증 신청부터 최종 발급까지 통상 3~6개월 걸리던 것이 IT 보안인증제도 개편 이후 약 1년으로 늘어나 기업들의 불편이 크다는 것이다.

CC인증 적체 문제에 대한 기업들의 불만이 높아지면서, 지난해 과학기술정보통신부는 CC인증 취득 기간을 단축하기 위한 개선 작업에 돌입했다. 한국판 뉴딜 등 디지털 전환 관련 공공 사업이 증가할 것으로 예상되는 가운데, 보안 부문의 필수 절차인 CC인증의 운영 개선이 필요하다는 판단에 따른 것이다.

과기정통부 관계자는 “CC인증 적체 문제는 한 평가기관에 접수가 몰리는 것이 원인으로 분석됐다. 정부는 평가기관의 인증 관련 정보를 제공해 기업들이 평가기관을 선택할 수 있도록 하겠다”고 밝혔다. 특정 평가기관에 접수가 몰리는 것을 방지하도록 하겠다는 것이었다.

올해 초부터 추진되고 있는 개선 작업의 주요 내용은 ▲CC인증 접수 및 평가 진행 상황, 단계별 예상 대기 기간 등 정보 통합 제공 ▲국내용 CC인증 유효기간 확대 ▲재평가 기준 완화 ▲국가정보원 IT보안제품 ‘국가용 보안요구사항’ 전면 개정 등이다. 물론 업계에서는 이러한 개선 사항을 긍정적으로 평가하고 있다.

KISIA서 인증 진행 상황 확인 가능

구체적으로 한국정보보호산업협회(KISIA) 홈페이지를 통해 CC인증 평가기관별 진행현황을 한눈에 확인할 수 있다. 현재 평가 진행 건수는 물론, 평가 대기 건수과 예상 대기기간까지 안내해 기업들이 인증 준비에 도움이 되는 정보를 제공하고 있다. 더불어 해당 페이지에서 각 평가기관으로 연결, 구체적인 진행현황도 확인할 수 있다.

또 정부는 CC인증의 유효기간을 기존 3년에서 5년으로 확대했다. 22년 1월부터 CC인증 필수 제품 목록도 24종에서 20종으로 축소할 예정이다.

또한 재평가 인증 기준도 완화할 계획이다. 기존에는 정보보안제품의 핵심 기능이 아닌 일부 기능만 변경하더라도 CC인증을 다시 받아야 했기 때문에 기업들의 비용 및 시간적 부담이 컸다. 이를 일부 변경의 경우 승인을 통해 재평가를 받을 수 있도록 해 기업들의 부담을 낮춘다는 방침이다.

또한 국가정보원의 ‘국가용 보안요구사항’을 전면 개정했다. 기존에는 CC인증이 클라우드 보안 등 신기술 발전을 가로막는다는 비판이 이어졌다. 이에 과기정통부와 국가정보원은 ‘국가용 보안요구사항’ 개선을 추진했으며, 지난달 2일 전면 개정안을 발표했다. 국정원은 그동안 업계 및 유관기관으로부터 총 529건의 기술제안을 받아 이 중 83%인 437건을 개정안에 반영했다. 이를 통해 기존 22개 제품에 한정됐던 보안검증 기준을 공통요구사항 2개, 제품별 요구사항 27개 등 총 29개로 확대했으며 다양한 정책 개선 사항을 제시했다.

무엇보다 이번 전면 개정안에서 주목해야 할 점은 그동안 보안적합성 검증 및 국내용 CC인증을 신청한 업체들에 한해서만 개별적으로 확인이 가능했던 보안요구사항 내용을 국정원 홈페이지에 공개했다는 것이다. 또한 2개 이상의 제품 유형을 결합할 때에도 각각의 제품별 보안기준을 통합 적용할 수 있도록 해 기능 융합이 가능하도록 했다.

적체 문제 해결 위한 방안은 아쉬워

보안 업계에서는 이번 개선안들에 대해 긍정적인 평가를 하고 있다. 먼저 CC인증의 유효기간이 확대됨에 따라, 인증을 연속해서 받아야 한다는 부담이 줄어들 것으로 기대하고 있다. 한 보안기업 관계자는 “유효기간이 3년이었을 때는 인증 취득 후, 1년 후부터 다시 인증 재평가를 준비해야 했기에 부담이 컸다. 하지만 5년으로 연장되면서 이러한 부담이 많이 줄어들 것으로 기대된다”고 말했다.

또한 재평가 기준 완화도 환영하고 있다. 재평가 기준이 완화되면, 재평가에 소요되는 기간이 수개월에서 수주 단위로 줄어들 것으로 기대하고 있다. 비용 역시 수천만 원에서 수백만 원 단위로 내려갈 것으로 전망했다.

국정원의 국가용 보안요구사항 개편도 보안업계에서 지속적으로 제기하던 문제를 해결한 것으로 평가받고 있다. 기존 CC인증의 경우 평가기관에 인증 평가 절차를 신청해야만 보안 요구사항을 확인할 수 있어, 인증 절차 중 기능을 개선해야 했기에 기간이 늘어난다는 지적이 있었다. 이번에 보안 요구사항을 공개하면서 기업들이 인증 절차 신청 전에 요구 사항에 맞도록 미리 준비할 수 있게 됐다.

하지만 적체 문제에 대해서는 아직도 지속되고 있다는 불만을 토로하고 있다. 실제 현재 CC인증 진행 상황을 살펴보면(4월 19일 기준), 평가 진행 건수는 28건으로 집계됐으며, 대기건은 19건 이상인 것으로 보인다. 평가 대기기간도 평가기관별로 1.5개월부터 6개월까지로 안내되고 있다.

평가기관에서 안내하고 있는 현황을 살펴보면 현재 진행 중인 평가들은 지난해 접수된 건들이다. 특히 한국정보통신기술협회(TTA) 소프트웨어시험인증연구소에서 진행 중인 평가들의 계약일자는 대부분 지난해 신청한 것이었으며, 더불어 재평가를 위한 신청이 대다수를 차지했다. TTA 소프트웨어시험인증연구소는 현재 평가대기가 12건이다.

CC인증 적체 문제는 개선안 발표 이후 조금씩 해소되고 있는 것으로 보인다. 하지만 인증 수요가 계속 나올 것으로 예상되기 때문에, 한동안 적체 문제는 지속될 것으로 예상된다. 이에 보안 업계에서는 당장의 적체 문제를 해소하기 위한 방안도 있었으면 좋겠다는 목소리를 내고 있다.

보안기업 관계자는 “인증 적체 문제는 보안 기업들에게 많은 부담이 되고 있다. 인증 절차가 길어질수록 사업에 차질이 생기기 때문이다. 실제 영업에서는 예상 인증 발급 일자를 토대로 진행하게 되는데, 인증 절차가 지연되면서 프로젝트를 추진하지 못 하는 경우도 있다. 인증에 많은 비용이 들어가기 때문에 인증 적체 문제는 기업들에게 큰 부담이 된다”고 강조했다.

지난해 CC인증 적체 문제로 많은 기업들이 어려움을 토로한 만큼, 올해 인증 개선 작업을 통해 문제가 해결될 것으로 기대된다. 하지만 1분기가 지난 현재까지도 인증 대기시간이 길다는 지적도 이어지고 있기 때문에, 당장의 적체 문제를 해결하기 위한 조치가 시급하다.