공공기관에 보안 제품을 판매하기 위해 반드시 획득해야 하는 CC인증과 관련해 보안 업계의 희망사항이었던 사후인증이 도입될 가능성이 현재로선 희박해졌다.
보안 업계는 그동안 신뢰할 수 있는 제품에 대해서는 선별적으로 사후인증제를 도입해줄 것을 요구해왔다. 이에 대해 국가보안기술연구소 IT인증사무국, 인증기관 등은 사후인증은 CC인증 자체에 존재 이유를 없애는 것이나 다름없다며 다른 개선 방안을 찾아보겠다는 입장이다. 결국 CC인증에서 사후인증은 현재로선 불가능하다는 얘기다.
12일 서울 여의도 국회의원회관에서 하태경 의원(새누리당) 주최로 열린 '정보보호산업 상생발전 정책세미나'에서 보안 업계와 정부 측은 사후인증을 놓고 다시 한번 평행선을 달렸다.
CC인증은 '국제공통평가기준'으로 국내 보안회사들이 공공기관에 제품을 납품하기 위해서는 필수로 받아야 하는 보안인증이다. 국내에서는 국제CC, 기준을 보다 완화한 국내CC 인증을 통과한 업체들에게 관련 인증서가 부여된다.
그러나 국내CC 인증을 받으려면 19개월이 걸린다. 공공 시장에 대한 의존도가 큰 보안 업체 입장에선 신제품을 개발해도 CC인증을 받지 못해 공공시장 진입 기회를 놓치게 된다는 얘기다. 업계가 검증된 업체들에 대해서는 사후 인증을 해달라고 요구하는 이유다.
이날 행사에서 조규곤 KISIA 회장은 보안위협이 빠른 속도로 진행되고 있고, 위협의 강도도 세지고 있다며 보안회사들은 빨리 제품을 업데이트 해야 하는데 CC인증이 사전인증제도인 탓에 어려움을 겪고 있다고 말했다.
그러나 이상훈 국보연 실장은 CC인증은 전 세계 제품 도입 관련 신뢰성, 안전성을 보장하기 위한 사전예방제도 성격이기 때문에 사후로 돌린다는 생각은 해 보지 못했다고 받아쳤다. 혹시라도 CC인증을 받은 제품에서 사고가 났을 경우 책임소재를 누가 져야하는가 등에 대한 문제가 생긴다는 지적이다.
CC인증 중 가장 높은 등급인 EAL4 등급을 받기 위해서는 3억원~4억원 가량이 들었으며, 7천쪽 분량의 보고서와 함께 19개월을 기다려야해 보안회사들 사이에 불만이 컸다. 그러나 최근 국보연은 평가비용을 1억원~2억원 가량으로 하며, 보고서 분량도 3천쪽으로 줄이고, 평가기간은 4.6개월로 단축하는 등 개선책을 마련했다. 보안회사들이 요구하는 개선책을 상당히 반영한 결과다.
관련기사
- 하우리 바이로봇 PMS, CC인증 획득2013.11.13
- 넷맨, 스마트낙 5.0 버전 CC인증 획득2013.11.13
- 유넷시스템, WIPS솔루션 CC인증 획득2013.11.13
- 국보연, CC인증사무국 역할 수행2013.11.13
주제발표 뒤에 이어진 패널토론에서 신명철 윈스테크넷 최고기술책임자(CTO)는 CC인증이 형식적인 느낌이 들때도 많았다며 실력있는 엔지니어들이 적어도 월2회는 정기적으로 모여 보안사고에 대한 심층토론을 벌였으면 한다고 말했다.
조대일 한국시스템보증 대표는 비슷한 보안회사가 동일제품에 공통적인 부분을 따로따로 개발하는 경우가 많은데 이 부분을 협업했으면 좋겠다는 의견을 내기도 했다. 네트워크, 암호 등과 관련된 보안모듈을 여러 회사들이 공동개발하면 관련 부분에 대해서는 CC인증에서 덜어내도 되지 않냐는 것이다.
