정보보호 시스템 인증 수요가 급증하고 있으나 일손이 모자라 적체가 심해지고 있다고 한다. 정부가 지난해 정보보호제품의 신뢰성 향상을 위해 6개에 국한돼 있던 인증 대상을 전 품목으로 확대했지만 미처 인증 기반을 확충하지 못해 일어나는 현상이다. 인증 대상이 확대되면 당연히 인증 관련 업무도 늘어나게 마련인데 대비가 부족한 탓이다.
한국정보보호진흥원(KISA)에는 현재 인증에 필요한 평가가 진행되고 있는 것만 19건에 달하고 대기중인 제품도 16개에 이르고 있다고 한다. 지난 한 해 동안 23건의 평가가 이루어진 것과 비교하면 폭발적인 증가세다. 더욱이 조만간 관련 업체들이 신청할 예정인 제품도 10여개에 달할 것으로 예상된다. 이런 추세라면 정보보호업계는 어렵사리 신제품을 개발해 놓고도 인증을 받기 위해 얼마나 시간을 허비하며 기다려야 할지 모르는 처지다.
인증업무의 적체는 해당 업체만의 문제로 그치는 것이 아니다. 인증된 제품만을 사용하도록 의무화돼 있는 정부기관의 정보보호 시스템 도입에도 차질을 빚게 된다. ‘같은 값이면 다홍치마’라고 가능한 한 정보보호 기능이 더 뛰어난 신제품을 사용하려 해도 시기가 맞지 않아 구 제품을 도입해야 하는 경우도 배제할 수 없다.
더욱 큰 문제는 정보보호산업의 발전에도 지장을 준다는 점이다. 오늘날과 같은 광속경쟁 시대에는 누가 더 좋은 제품을 더 빨리 시장에 내놓는지가 관건이다. 인증 지연으로 정보보호 신제품의 출시가 늦어진다면 세계시장 경쟁에서 그만큼 뒤처질 가능성이 높다. 아직도 정부 정책이 수요자가 아닌 공급자 위주의 발상에서 벗어나지 못한 것 같아 안타까운 심정이다.
정보보호 인증에 심각한 병목 현상이 빚어지고 있는 이유는 간단하다. 인증기관과 평가기관이 유일하기 때문이다. 세계적으로 각종 인증제도를 운용하는 기관에서는 다수의 대행기관을 두고 있다.인증업무는 까다롭고 시간이 많이 걸리기 때문에 가능한 한 시간을 단축시키기 위해서다. 또 지리적으로 흩어져 있는 수요자에게 최대한 가까이에서 인증 서비스를 제공하려는 의도에서다. 대행기관 간 경쟁을 통해 인력확충은 물론이고 서비스의 질을 높일 수 있는 부수적인 이점도 있다.
국가기본 질서를 다루는 정보보호 인증업무의 특성을 고려하더라도 인증과 평가를 단 한 곳에서만 담당한다는 것은 수요자의 편의를 무시한 운영방식이 아닐 수 없다. 지금 당장은 유일한 평가기관인 KISA의 전문인력과 조직을 확충하는 것이 시급하지만 중장기적으로는 복수의 평가기관을 선정해 현장밀착형 인증서비스를 제공하는 방안도 검토해야 한다.
전문인력 양성도 발등의 불이다. 인증기관인 국정원은 지난 5월 정보보호 인증시스템을 독자적인 K제도에서 국제공통평가기준(CC)으로 바꾸었다. 인증제도를 국제적으로 통용되는 쪽으로 전환하는 것은 당연하고 환영할 만하지만 업체들의 부담은 더 늘어났다. K제도에서는 보호 프로파일(PP)과 보안목표명세서(ST)를 담당기관인 국정원이나 KISA가 작성했지만 CC 방식에서는 해당 기업에서 직접 담당해야 한다. 인증과 평가기관에서도 부족한 전문인력을 해당 업체들이 하루아침에 확보해야 하는 처지다 보니 경험이 있는 전문인력을 놓고 해당 업체들 간에 치열한 스카우트 경쟁마저 벌어지고 있다. 사정이 이러한데도 CC 기준에 부응하는 전문인력을 양성하려는 움직임조차 눈에 띄지 않는다.
아무리 좋은 인증제도라도 인력과 시설 등 행정서비스가 따라주지 못하면 그 고통은 고스란히 수요자인 업체들에 돌아간다. 그렇다고 준비도 안 된 제도를 성급하게 도입했다고 나무란다 해서 해결될 일도 아니다. 정보화 시대의 근간인 정보보호를 위해 어차피 가야 할 길이라면 지금이라도 하루빨리 전문인력을 양성하고 대행기관을 확대해 병목을 해소하는 데 힘을 모아야 한다.