노병규 한국정보보호진흥원 보안성평가단 단장
노병규 한국정보보호진흥원 보안성평가단 단장
nono@kisa.or.kr
2006년 5월 3일, CCRA 가입을 위한 대 여정이 이날을 맞아 드디어 그 마침표를 찍었다. 이날은 2004년 9월 14일 우리나라가 CCRA에 인증서발행국(CAP) 자격으로 가입신청을 한 이후 약 20여개월에 달하는 과정을 거친 땀의 결과였다. 한층 심한 경쟁과 기회를 가져올 CCRA 가입은, 1998년 침입차단시스템 평가를 시작으로 우리나라의 평가서비스를 한 단계 끌어올리기 위한 성과지표로써 평가제도를 태동시킬 때부터 예견되어 왔다고 할 수 있다.
이에 본 기고에서는 그 간의 가입준비 및 심사과정을 중요한 사안별로 고찰함으로써, 그 각각이 갖는 의미를 살펴보고, CCRA 가입이 가져올 변화와 이에 대비하기 위한 새로운 목표에 대한 제언으로 마무리 하고자 한다.
가입 기반 조성
1998년은 국제적으로 미국과 유럽의 평가기준이 공통평가기준(CC)으로 통합되어 가는 과정이었고, 우리나라는 국내 정보보호산업 육성과 평가역량 확보를 달성하기 위한 취지로 국내 기준인 K 기준을 개발하였으며, 이를 토대로 1998년 침입차단시스템, 2000년 침입탐지시스템 평가를 시행하였다.
2001년에는 북미와 유럽의 통합된 평가기준인 CC(1999년)에 기반을 둔 CCRA 체계(2000년)라는 국제 흐름에 동참하기 위하여 공통평가기준(CC) 개발 등을 추진하였으며, 2002년에는 공통평가기준(CC)을 제도권으로 수용하여 가입 환경을 한층 더 조성하였다.
이후, 2003년에는 평가제도 관련 산·학·연·관 전문가가 참여한 '정보보호시스템 평가제도 개선 연구위원회'를 통하여 인증서발행국으로의 CCRA 가입 필요성 연구 및 공감대를 확산시켜 나갔다.
국제협력을 통한 환경 조성
2004년 9월 14일 우리나라는 CCRA 인증서발행국으로 가입신청서를 제출하였다. 가입신청 승인 다음 목표는 가입심사 대상국 선정이었으며, 이를 위해서는 CCRA 의장국과 인증서발행국의 협력이 절대적으로 필요하였다. 이에 '05년 3월 인증서발행국으로 직접 가입한 일본을 대상으로 가입과정을 벤치마킹하였으며, 이를 토대로 CCRA 회원국별 차별화된 국제협력 계획을 수립하여 추진하였다.
2005년 6월 9일~10일 양일간 네덜란드에서 개최된 CCRA 심사위원회 회의에서 우리나라가 가입심사 대상국으로 선정되기 위한 노력의 일환으로, 네덜란드, 프랑스, 독일 인증기관 방문(4월), 한·일 시큐리티 워크샵(5월), CCRA 전문가 정보보호심포지움(SIS) 초청 및 독일 TUViT과 MOU 체결(6월) 등을 추진하여 우리나라에 유리한 방향으로 진행될 수 있는 국제적인 환경을 조성하였다. 당시 3개국만인 심사대상국으로 선정될 수 있는 상황에서 가입심사 신청국이 우리나라를 포함하여 8개국이라 심사 대상국에 우리나라가 포함되는 일은 그리 쉽지 만은 않았다.
그러나 이러한 활동과정에서 우리나라의 평가·인증제도와 CCRA 가입역량, 심사준비현황 등을 적극 홍보하였으며, 이를 통해 우리나라가 네덜란드, 노르웨이와 함께 05년 하반기 심사대상국으로 선정되는 쾌거를 이루었다.
가입심사 수검 준비에 총력
가입국 선정은 가입심사 준비를 가속화 시켰고, 성공적인 심사 수검을 위하여 '선진 평가기술을 적용한 가입심사문서 완성도 제고', '국내외 전문가를 활용한 사전검증', '국내 평가역량 홍보 강화' 등이 포함된 수검준비 계획을 수립하여 추진하였고 이러한 빈틈없는 결과로 2006년 5월 CCRA 가입이 승인되었다.
CCRA 가입이 가져올 새로운 변화
CCRA을 준비하기 위해 여러 가지 요소를 고려하였다. 특히 국내 산업에 미치는 영향을 주로 고려하여, 인증서발행국으로 직접 가입을 요청하였고 이러한 전략은 그대로 적중하였다. 만일 아무런 장치없이 인증서 수용국으로 가입하였을 경우 국내 산업에 미치는 영향은 실로 지대하였을 것이다.
IT 일등 국가에 걸맞게 국내 제품 중 특히 네트워크 관련 정보보호 제품은 국제 경쟁력이 충분하다는 판단이다. 그동안 축적했던 기술력을 바탕으로 CCRA 가입이라는 시기를 위기로 생각하기보다는 기회라고 모두가 판단해야 할 시점이다.
관련업체도, 평가기관도 인증기관도 무한 경쟁을 대비해야 한다. 국내 평가·인증기관도 국외 인증서발행국 평가·인증기관과 서비스 경쟁을 해야 할 것이다. 서비스 품질 면에서 경쟁력이 있으면 고객들은 우리를 찾을 것이다. 그렇지 않을 경우 그들은 국외 서비스를 찾아갈 것이다. 제품도 이와 다르지 않을 것이다. 소비자는 국산, 외산 구별 없이 품질이 좋은 제품을 찾을 것이기 때문이다.
이와 같이 CCRA 가입은 무한 경쟁을 야기할 것이고, 이는 궁극적으로 국내 일류 제품/서비스를 세계 일류로 이어지게 할 것으로 기대된다.