# A보안업체는 클라우드 환경에 맞춰 개발한 웹방화벽(WAF)이 공통평가기준(CC) 인증을 받지 못해 사업이 중단될 위기에 놓였다. A사 대표는 “클라우드 전환 흐름에 맞춰 3년 동안 웹방화벽 개발에 매진했지만 CC인증 규격과 다르다는 이유로 심사를 받지 못했다”면서 “CC인증 없인 클라우드 서비스 보안 인증도 받을 수 없어 공공기관 납품이 어려운 상황”이라고 토로했다.
A사가 개발한 웹서버 설치형 웹방화벽은 클라우드 이점인 확장성을 누리도록 설계됐다. 웹서버 설치 시 우려되는 서버 부하, 장애 지점도 최소화했다. 별도 장비 없이 즉시 설치·이용할 수 있고, 인터넷주소(IP) 변경도 필요하지 않다. CC인증 규격에 맞추려면 웹방화벽 적용 시 기존 환경을 일부 변경해야 한다. A사 측은 “CC인증을 받으려면 연구개발(R&D)한 제품의 장점을 모두 포기하고 과거 규격에 맞춰서 제품을 다시 만들어야 한다”고 말했다. A사와 비슷한 이유로 CC 인증심사가 거절된 뒤 해외로 눈길을 돌린 기업도 있다.
CC인증이 클라우드 환경에 제대로 대응하지 못하는 것으로 지적됐다. 클라우드는 운영 환경을 포괄하는 기반이지만 CC인증은 개별 제품 보안 인증이어서 보안성을 장담하기가 어렵다는 우려도 나온다.
CC인증이 클라우드 등 미래 기술을 따라가지 못하기 때문으로 분석된다. CC인증은 클라우드 플랫폼 위에서 동작하는 개별 보안 제품을 인증할 뿐 클라우드 플랫폼 자체 보안까지 보증하지는 않는다. CC인증은 평가기관 폐쇄 환경에서 단일 제품 보안성 평가로 이뤄지는 반면에 클라우드 서비스 보안 인증은 실제 이용자 환경에서 평가된다. 두 인증을 모두 받았다 하더라도 클라우드 이용 과정에서 발생 가능한 보안 위협을 검증할 방안이 없다. CC인증은 국가보안기술연구소 IT보안인증사무국이 인증기관, 클라우드 서비스 보안 인증은 한국인터넷진흥원(KISA)이 평가·인증기관 역할을 각각 수행한다.
IT보안인증사무국 관계자는 17일 “클라우드 환경에서 CC인증은 국제보안평가상호인정협정(CCRA) 회원 31개국이 함께 고민하는 문제”라면서 “네트워크 환경이 복잡해져서 있지 않던 부분에 대한 보안 인증제도 개선은 시간이 걸리며, 발전 방향을 마련하겠다”고 말했다. 'G클라우드'를 운영하는 국가정보자원관리원 역시 클라우드 보안 방안을 마련하기 위해 현황 조사에 나선 상태다.
이동범 한국정보보호산업협회(KISIA) 회장은 “제도를 확립한 후 클라우드 보안 인증을 수행하려면 늦다”면서 “세계 표준이 나오기 전에 클라우드 보안 인증을 어떻게 도입할지 정책 마련이 시급하다”고 말했다. 국회 과학기술정보방송통신위원회 김영식 의원(국민의힘)은 “클라우드 시대에 맞게 보안 규격도 변화해야 한다”면서 “제도가 따라가지 못해 신기술 발전이 저해되는 일이 없도록 민·관 협력이 필요하다”고 말했다.
오다인기자 ohdain@etnews.com