국내 인증 부활, 민간 정보보호 제품 평가기관 설립으로 보안업체 ‘갈팡질팡’
CCRA는 CCRA에 가입한 24개 국가 간에 CC인증이 통용되는 국제협약이다. 한국의 CCRA 가입은 과거 정부에서 국내 보안 업체를 보호하기 위해 쳐놓은 K4인증을 과감히 벗어던지고 국제공통평가 기준을 따르겠다는 것이다. 동시에 국내 보안 업체들의 텃밭이었던 공공시장 진입 통로를 외산업체에게도 전격 개방한다는 것을 의미한다. 그러나 지난 3월 국가정보원 IT보안인증사무국은 '정보보호제품 평가ㆍ인증제도 개선 설명회'를 개최해 평가적체 현상을 해소하기 위해 국내 평가인증제도를 신설, CC인증과 병행 운용할 것이라 발표했다. CCRA가입 1년도 째 안 되서 국내(K4) 인증이 다시 부활한 것이다.
CC평가 인증은 보증등급별 모든 평가항목을 전수평가방식으로 진행되지만, 국내평가인증제도는 기능 및 취약성 시험부문만 전수 평가로 진행될 뿐 나머지는 샘플링 평가로 이뤄진다.
국가 정보원 인증 사무국은 "국내 인증은 국제공인인증서 대신 국정원의 국내 인증서가 발급되며 CCRA 회원국간 인정되지 않는다"고 밝혔다. 결국 국내 시장과 더불어 해외시장 진출까지 염두하고 있는 국내 보안업체라면 국제CC인증을 획득해야 하는 것이다. 하지만 최근 보안업계에는 국제CC인증 평가를 신청했던 보안 업체들이 인증 기간을 단축할 수 있다는 이유만으로 국내CC인증을 받기 위해 우후죽순 방향을 선회하고 있는 기이 현상이 나타나고 있다.
CC계약 신청 후에도 평균 1년 6개월이나 소요되는 국제 CC인증을 기다리느니, 국내 시장부터 우선 공략하고 봐야 한다는 판단에서 비롯된 것이다. 부득이 이 같은 결정을 내린 국내 업체들에게는 추후 해외 시장 진입을 위해 다시 국제 CC를 받아야 하는 이중고가 따르게 될 것으로 예상된다.
한 국내 보안 업체 대표는 "CC인증을 받기 위해 보통 자문-대기-평가기간을 거치게 되는데 국내 평가인증제도는 국제 CC인증에 비해 평가기간의 경우 2개월 정도 단축되는 것으로 알고 있다"며 "회사 입장에서 국제 CC가 필요한 게 사실이지만 국제CC를 신청했던 경쟁 업체들이 모두 국내CC를 받는 쪽으로 돌아서고 있어 국내 인증을 받기 위한 대열에 합류할 수밖에 없었다"고 말했다.
국내 CC인증, 국내 보안업체에게 득 될까?
국내 CC인증이 국내 업체들에게 결코 유리하게 작용하지 않을 것이라는 게 보안 업계 중론이다. 보안 업체들은 "국내에만 몇 곳 팔려는 업체와 CCRA 가입국이 아닌 캄보디아, 아프리카 우간다 등의 국가에만 수출을 하고자 하는 업체가 아니라면 반드시 국제 CC인증을 받아야 한다"고 설명했다. 보안 업체들 입장에서는 단지 몇 개월 빨리 국내(공공) 사업을 하기 위해 국내인증까지 받아야하므로 부담만 더 가중된 상황이다.
특히 보안업계에는 현재 '과연 국내 인증이 제품 평가에 제대로 된 지표가 될지 의심스럽다'는 우려의 목소리가 높다.
국제 CC 인증평가를 스파르타식 평가 방법이라 비유하는 한 국내 보안 업체 대표는 "국제 CC인증은 제품의 소스와 소스 주석까지 일일이 다 확인하고 평가하는 반면, 국내 인증은 임의로 특정 기술을 발췌해 샘플만 보고 평가해 인증을 주겠다는 것이기 때문에 제품 평가에 얼마나 효용성이 있을지는 알 수 없다"며 "국내 인증은 국제 인증보다 3~4개월 인증기간을 줄여준다는 식의 구색 갖추기에 불과한 제도"라고 말했다. 엄격한 인증 평가 절차를 거치더라도 국내 업체의 제품 및 기술 성숙도를 높여 제대로된 제품을 판매해야 한다는 게 이 업체대표의 주장이다.
민간 인증 평가 기관 설립 '뾰족한 효과 없어'
한편 이달 초 KTL(한국산업기술시험원)이 국정원 IT보안인증사무국으로부터 최초 민간 정보보호 평가기관으로 승인을 받았다. KTL의 인증평가 사업이 본격화되면 기존에 KISA에 인증평가 심사를 받기 위해 무작정 대기하고 기다려야 했던 정보보호 제품의 적체현상을 해소할 수 있을 것으로 업계는 예상했다. KISA에서는 보통 인증 계약 체결 후 평가를 받기 위해 대기하는 기간만 많게는 6개월 이상 걸렸다. 따라서 이 같은 대기 시간이 없어 인증획득이 아무래도 빠를 것으로 예상한 보안업체들은 실제 설립 초부터 심사를 받기 위해 KTL에 줄을 서기 시작했다.
그러나 당초 업체들의 기대와는 달리, 평가 시 소요되는 비용도 KISA 보다 비싼데다가 아직 평가 인력 부족으로 인증을 받기 위한 기간도 더 오래 걸릴 수 있다는 말들이 쏟아져 나오고 있다. 한 보안업체가 확인한 바에 따르면 같은 제품을 문의한 결과, 평가 비용이 KISA의 경우 2500만원이었던 반면, KTL은 7500만원으로 적어도 3배 이상 비싼 것으로 알려진다.
보안업체들은 민간인증 평가기관 설립으로 어디서 인증을 받아야 할지, 아직까지 다소 혼란스러운 상태이며 경쟁업체에서 인증을 받기위해 어느 곳을 택할지 예의주시하고 있다. KTL이 KISA의 적체현상을 해소하고 신뢰받는 인증평가 기관이 되기까지 좀 더 시일이 걸릴 것으로 보인다.
이러한 변화 속에 CCRA 가입국이 된지 1년이 지났다. CCRA 가입 효과로 가장 기대됐던 국산 보안업체들의 해외 사업 활성화와 같은 두드러진 효과를 찾아보기는 아직까지 힘든 게 사실이다. 오히려 국내 인증 부활, 민간 평가기관 설립 등으로 인증에 대한 보안업체들은 혼란과 부담만 더해가고 있다. 과연 CCRA 가입이후 무엇이 가장 크게 달라졌는지, 또 진정한 CCRA 가입 효과는 무엇인지에 대해 한번 쯤 뒤돌아 볼 필요가 있을 것이다.
관련기사
김정은 기자
jekim@itdaily.kr