[뉴스토마토 류석기자] 지난 10월 국가정보원에서 미래창조과학부로 이관된 정보보호 제품 인증(CC인증)이 간소화 될 것으로 보인다.
평가 방법과 기간을 이전보다 줄임으로써 CC인증을 받는 정보보호 업체를 늘리고, 결과적으로 산업 성장을 이끌겠다는 것. 또 국제용CC와 국내용CC가 결합된 형태의 하이브리드형 CC인증도 선보일 계획이다.
CC(Common Criteria)인증 국내CC인증과 국제CC인증으로 나뉜다. 국내CC인증은 국내에서 만들어지고 있는 보안장비에 대한 평가기준을 표준화한 성능 평가 인증이다.
별도의 보안적합성 검사 없이 국내 공공시장에 정보보호제품을 납품하기 위해서는 국내CC인증이 필요하다. 국제CC인증은 국제 표준 인증으로 정보보호제품 해외 공공기관 수출 시 제품의 성능을 증명하는 용도로 사용된다.
3일 서울 양재동 더케이 호텔에서 열린 미래부 주최 'CC인증 정책 토론회'에서 홍진배 미래부 정보보호정책과장은 "현재 CC인증을 효율화할 계획"이라며 "중소 정보보호업체들이 CC인증을 받는데 있어서 좀 더 편안히 받을 수 있도록 재정적으로 지원하는 방안도 검토 중"이라고 밝혔다.
◇3일 양재동 더케이호텔에서 'CC인증 정책 토론회'가 진행됐다.(사진=류석 기자)
미래부가 CC인증을 개선하려는 목적은 ▲CC인증 확대를 통한 정보보호산업 육성 ▲CC인증의 효율적 운영을 위한 제도개선 ▲중소 정보보호업체 지원 ▲글로벌 경쟁력 강화 등 총 4가지다.
보안업계에서는 현재의 CC인증에 대해 평가비용이 비싸고, 평가 기간이 너무 길다는 문제점이 있다고 입을 모은다. 또 너무 과도한 평가 기준으로 인해 기업의 자율성을 침해하고 있다는 지적도 나온다.
미래부에서는 이러한 CC인증에 대한 업계의 불만에 대해 해소할 수 있는 방안을 찾겠다는 입장이다. 또 CC인증이 국내 정보보호 산업을 한 단계 성장시킬 수 있는 수단으로 활용 될 수 있도록 한다는 목적도 밝혔다.
먼저 미래부는 국제CC인증을 받는 업체들이 늘어날 수 있도록 할 계획이다. 국제CC인증 같은 경우 국내 시장에서 정보보호제품을 공급하는데 큰 도움이 되지 않았다. 또 비용이나 기간도 국내CC인증과 비교해 더 들어간다는 점 때문에 업체들이 국제CC인증을 받는 경우가 드물었다.
미래부는 국제CC 인증을 받는 제품들이 늘어남으로써 국내 정보보호산업의 경쟁력이 강화될 수 있을 것으로 보고 있다. 이에 따라 미래부는 현재 CC인증을 받는 제품 중 10%만이 국제 CC인증을 취득하던 것을 2017년 까지 30%로 확대한다는 계획이다. 이를 위해 중소정보보호 업체에 대해서는 국제CC 인증 평가 비용의 최대 50%까지 재정적으로 지원하는 방안을 검토 중이다.
또 국제용과 국내용을 한 번의 평가로 모두 취득할 수 있는 국내용·국제용 융합형(Hybrid) 제도를 신설할 계획이다. 해외수출 및 국내 공공기관 납품을 희망하는 정보보호 업체를 대상으로 국내용과 국제용 기준에 적합할 경우 2개의 인증서 발급하는 방식이다.
◇업계 "인증 대폭 개선 및 평가인력 확대 필요"
업계에서는 이러한 미래부의 CC인증 효율화 정책에 대해서는 환영한다는 입장이지만, 제도 개선 측면에서는 CC인증의 대대적인 개선이 필요하다고 요구했다.
김의탁 하우리 소장은 "CC인증 활성화를 통해, 가격경쟁이 아니라 품질경쟁으로 갈 것으로 보여진다"라면서 "인증서 유예기간도 재조정이 필요하고, GS인증 등과 기타 다른 인증들이 통합되는 등의 방안을 마련하는 것이 필요하다"라고 밝혔다.
조원용 시큐아이 팀장은 "정보보호제품에 있어서 갖고 있는 인증이 국제CC인지 국내CC인지에 따라 제품 경쟁력이 있다고 말하는 것은 아니라고 본다"라며 "정말 보안에서 지켜야 할 필수사항만으로 인증을 완화시켜주고, 실제로 경쟁력 있는 제품을 만들 수 있도록 지원하는 게 맞다"라고 꼬집었다.
또 CC인증에 대해 평가를 수행하는 민간 평가기관에서는 CC인증이 활성화되기 위해서는 평가 인력을 원활하게 확보할 수 있는 환경이 먼저 조성돼야 한다고 강조했다. 미래부에 따르면 CC인증을 받아야 하는 대상 제품은 초기 12종에서 현재 55종으로 4배 이상 증가했지만, 평가자는 40명에서 75명으로 증가하는 데 그쳤다.
강성주 정보화전략국장은 "CC인증과 정보보호 산업 연계 및 다양한 정책을 통해, 국내 산업이 활성화되고 국내 기업의 경쟁력이 강화되는 등 국내 정보보호 서비스 질의 향상과 함께 수출 경쟁력을 확보해 나갈 수 있을 것"이라고 말했다.