민간 정보보호평가기관 승인으로 정보보호제품 평가가 수월해질 것을 기대했던 보안 기업들이 평가 작업이 더욱 복잡해져 애를 태우고 있다.
6일 관련 업계에 따르면 한국정보보호진흥원(KISA) 외에 한국산업기술시험원(KTL)과 한국시스템보증 등 민간 평가기관이 평가업무를 시작하면서 3개 기관 중 어느 쪽에 평가를 신청해야 빨리 평가를 받을 수 있을지 예측해야 하는 고민이 생겼다. 또 민간 평가기관들이 인력 및 평가 경험 부족을 들어 평가 자문을 하지 않기로 하면서 평가를 한 번도 받지 않았던 기업들은 제품 평가받기가 더욱 어려워졌다.
◇어디에 줄을 서야 하나=정보보호 기업들은 3개 평가기관 중 어느 기관에 평가를 신청해야 신속하게 평가를 마치고 인증을 획득할 수 있을지에 대한 고민에 휩싸였다.
한국정보보호진흥원(KISA) 한 곳만 평가기관이 있었을 때는 어느 기관에 줄을 서야할지 고민할 필요가 없었지만 이제는 3개 기관의 계약 건수와 평가 진행도를 파악하고 가장 효율적일 것으로 판단되는 기관과 계약을 맺어야 한다. 3개 평가기관들은 기업이 다른 평가기관과 계약을 한 경우 이중으로 평가 계약을 받지 않는다.
한 마디로 기업이 평가기관과 양다리 계약할 수 없는 구조이기 때문에 기업들은 가장 신속하게 평가를 진행할 것 같은 기관과 신중하게 계약을 맺어야 한다는 것이다.
한 보안업체 평가 담당자는 “과거에는 KISA와 빨리 계약을 하는 것이 빨리 평가를 받는 길이었지만 이제는 평가기관과 계약을 빨리 했다고 하더라도 나중에 다른 평가기관과 계약을 맺은 경쟁업체 제품이 먼저 인증을 받게 될 수 있는 구조”라고 말했다. 그는 또 “화장실도 한 줄 서기 운동을 하는 데 정보보호 제품 평가기관은 어느 쪽 문이 먼저 열릴지 예측할 수 없는 상황으로 바뀌었다”고 덧붙였다.
◇첫 평가 업체, 발 동동=그동안 한 번도 국제공통평가기준(CC) 평가를 받지 않았던 정보보호 기업들이 평가를 받기는 더욱 어려워졌다.
KISA를 제외하고 KTL과 한국시스템보증은 사실상 경험이 부족한 기업의 평가를 할 수 없는 상황이기 때문이다. KTL은 인력부족 문제로 평가 자문을 할 수 없는 데다 두 기관 모도 평가제출물의 완성도가 높은 기업과 평가 계약을 하겠다는 입장을 밝혔다.
처음으로 평가를 받는 기업은 평가 제출물만을 만드는데도 상당한 노하우가 필요하기 때문에 민간 기관과는 계약이 어려운 상황이다.
이에 따라 첫 평가 업체들은 KISA에서 평가를 받아야 한다. 8월 말 현재 KISA에서는 20여 개 제품 평가를 진행 중으로 지금 계약할 경우 6개월 이상 기다리고 최종 평가가 완료될 때까지 1년여가 넘게 걸릴 수 있다.
김재명 뉴테크웨이브 사장은 “평가기관도 어떻게 평가할지 모르는 상황에서 제품 평가를 마냥 기다려는 하는 불합리한 상황”이라고 토로했다.
김인순기자@전자신문, insoon@