IT >

정보보안솔루션 ‘CC인증’ 기다리다 지쳐

"기업체를 찾아다니며 제품을 시연하면 이런 기술이 있느냐며 감탄하지만 막상 계약을 체결하자고 하면 국제공통평가기준(CC) 인증이 없어서 채택할 수 없다는 답변만 돌아옵니다. 이제까지 공공기관 위주로 제품을 공급하면서 성장해 왔는데 이제 그 길이 막히게 됐습니다." (보안 솔루션 업체 A사 대표)

지난 1일부터 'CC인증' 제도가 개정됨에 따라 보안업체들의 근심이 깊어졌다. 인증 유효기간이 생긴 것은 물론 인증 대상 솔루션도 추가돼 행정절차에 소요되는 비용과 금액이 늘어났기 때문이다.

2일 업계에 따르면 1일부터 CC인증의 유효기간이 생겨 한번 인증을 받은 제품도 3년마다 갱신해야 하는 것은 물론 수출을 위해서는 국제 표준 기구인 국제상호인정협정(CCRA)에서 직접 인증을 받아야 한다.

CC 인증은 민간 업체가 개발한 정보보호제품의 보안성에 대해 국가 차원에서 안전성과 신뢰도를 보증함으로써 소비자가 안심하고 사용할 수 있도록 지원하기 위한 제도다.

국내에서는 전자정부법에 의거, 국가 및 공공기관이 도입하는 정보보호제품의 보안적합성을 검증하기 위한 필수 인증제도로 활용되고 있다. 올해부터는 소프트웨어(SW)개발 보안(시큐어코딩)분야와 모바일 단말관리(MDM) 등이 추가됐다.

보안업계에서는 유효기간이 생긴 것에 대해서는 긍정적인 반응이다. 한 업계 관계자는 "유효기간이 생겨 제품에 대한 검증이 강화된 것"이라며 "CC 인증의 공신력이 높아지면서 공공·금융 등 대규모 사업에 진출하기도 쉽다"고 기대했다.

그렇지만 인증 유효기간이 생기고 대상 품목도 늘어나는 등 수요는 늘어나는 반면 여전히 인증 대행기관이 5곳에 불과한 것은 문제로 지적된다. 현재 CC 인증은 한국전자통신연구원(ETRI) 산하 국가보안기술연구소 주관 아래 한국인터넷진흥원(KISA), 소프트웨어 시험평가연구소(TTA), 한국시스템보증 등 5곳만이 인증 대행을 맡고 있어 대기기간이 계속 길어지고 있는 것이다.

특히 올해부터 CC 인증이 의무화된 시큐어코딩 분야는 심각한 인증 적체에 시달리고 있다. 공공기관 진출을 위해 평가를 받으려는 업체는 줄을 서 있지만 인증기관은 KISA 단 한 곳에 불과하기 때문이다. 현재 CC 인증을 획득한 시큐어 솔루션은 파수닷컴의 스패로우뿐이다.

중소 SW 개발업체에는 CC 인증을 받기 위한 절차 자체가 부담으로 작용하기도 한다.
인증 준비를 위한 인력과 비용도 문제지만 자문을 구할 곳도 마땅치 않기 때문이다.

인증을 기다리다 공공사업에 진출할 시점을 놓쳐 성장이 지체되는 경우도 많다.

익명을 요구한 한 SW업체 관계자는 "제품 개발을 겨우 끝냈는데 이제 CC 인증을 받으려고 하니 골머리를 앓게 생겼다"며 "공공 조달 때문에 인증을 준비하고 있지만 내부 인력으로는 역부족이고, 믿을만한 컨설팅 기관도 찾기 힘들다"며 고충을 토로했다.

sane@fnnews.com 박세인 기자