정보보호 업계가 국제공통기준평가(CC) 인증 적체 현상에 이어 최근에는 국정원 보안 적합성 검증까지 느려져 애를 태우고 있다.
1일 관련 업계에 따르면 4∼5주 정도면 완료되던 국정원 보안 적합성 검증이 최근 6개월여까지 길어지면서 공공기관 영업에 차질을 입고 있다는 목소리를 높이고 있다.
보안 업체들은 지난해 국제 CC인증을 받으려는 기업이 늘면서 평가 대기기간 6개월에, 평가기간 6개월 등 1년이 넘는 시간을 평가에 매달리고 있다. 이런 상황에 CC인증을 받은 제품도 증가, 다음 단계인 보안 적합성 검증까지 적체 현상이 일어났다는 게 업체들의 분석이다.
실제로 지난해 말 보안적합성 검증을 신청한 한 보안 업체는 7개월여 만에 보안 적합성 검증을 마쳤고 4개월이 지났는데도 적합성 검증을 통과하지 못한 업체들이 대기하고 있는 상황이다.
정보보호 기업들이 제품을 개발한 후 공공기관에 판매하기 위해서는 한국정보보호진흥원(KISA)이나 KTL 등 정보보호제품 전문 평가기관을 통해 국제나 국내 CC인증을 받아야 한다.
국제 CC인증인 경우 걸리는 시간은 최근 평균 1년. CC인증을 받은 후에는 국정원의 보안 적합성 검증을 통과해야 공공기관에 제품을 납품할 수 있다.
한 보안업체 고위관계자는 “CC인증을 받은 제품이 연이어 나오고 또 이 제품들이 보안적합성 검증 과정에 한꺼번에 들어가면서 적체 현상을 보이고 있다”며 “보안 제품의 생명주기가 2년 정도밖에 되지 않는데 국가에 납품할 수 있는 인증을 받는데만 거의 1년 6개월이 소요돼 답답하기 그지없다”고 토로했다.
또 다른 업체 사장은 “CC인증을 획득하면 보안 적합성 검증은 더욱 짧아질 것으로 예측했지만 실제는 검증기간이 더욱 길어졌다”며 “CC인증 적체를 해소하기 위해 민간평가기관이 설립되는 등 해소 방안이 마련됐지만 다음 단계인 보안적합성 검증에 대한 예측이 미흡했다”고 지적했다.
이에 대해 국정원 측은 “보안적합성 검증은 제품 도입기관이 검증을 의뢰하면서 시작되는데 일부 기관이나 기업이 검증 신청시 필수사항인 기술문서 준비와 제출에 소홀한 경우가 많아, 실제 시험이 진행되기 전에 이를 보완하는데 상당한 기간이 소요되고 있다”며 “시험이 진행되는 과정에서 발생하는 취약점 보완 등 문제점에 대응하는데 신속하지 못한 경우가 많아 검증기간이 늦어진다는 의견이 나온 것으로 판단된다”고 밝혔다.
국정원은 또 “앞으로는 제출물의 완성도가 높을 경우에만 검증신청을 접수해 보안적합성 검증이 적체된다는 불필요한 오해소지가 없도록 할 계획”이라고 덧붙였다.
김인순기자@전자신문, insoon@