정보보호업체들이 보안분야 국제인증인 국제공통평가기준(CC)인증을 제때 받지 못해 사업추진에 어려움을 겪고 있다고 한다. 공공기관이나 대기업 등에 방화벽을 비롯한 각종 보안제품을 납품하기 위해서는 CC인증을 받는 게 중요한데, 정보보호업체들이 CC인증 획득을 제때 받지 못해 불만이 높아지고 있다는 것이다.
인증 적체 현상을 해소하기 위해 정부는 지난해 정보보호진흥원 외에 한국산업기술시험원과 한국시스템보증을 CC인증기관으로 추가 지정했다. 하지만 여전히 인증 적체현상은 해소될 기미가 별로 보이지 않고 있다. 심한 경우는 CC인증을 받는 데 1년 반 정도 걸린다고 하니 업계의 불만 수준을 능히 짐작할 수 있다.
CC인증이 지연되고 있는 것은 신규 인증기관으로 지정된 기관의 전문 평가인력이 크게 부족하고, 평가작업가 아직 본궤도에 진입하지 않았기 때문으로 보인다. 평가작업 중 예상치 못했던 문서작업 및 제품 성능오류가 발생하고 있는데다 국정원이 과거보다 엄격한 잣대를 적용하고 있는 것도 원인이라고 한다.
CC인증이 지연될수록 피해는 정보보호업체와 공공기간 등 수요기관이 입을 수밖에 없다. 이는 우리나라 정보보호산업의 발전에도 별 도움이 되지 못한다. CC인증은 국제적으로 통용되는 보안평가기준이기 때문에 CC인증을 받은 국내 기업은 국제적인 공인받는 셈이다. 따라서 정보보호 제품을 해외에 수출하거나 외국의 공공기관에 납품하기 위해서는 CC인증을 획득하는 게 바람직하다.
정부와 인증기관은 앞으로 CC인증 수요가 늘 것에 대비해 체계적인 대책을 마련해야 한다.
국정원은 적체 해소를 위해 우선 선임 평가원 1명이 2개 평가반을 관장할 수 있도록 관련규정을 완화했으며, CC평가 경험이 있는 전문가로부터 자문을 받은 업체는 평가기간을 단축하는 방안도 검토 중이라고 한다. 여기서 한발 더 나아가 더욱 장기적인 CC인증 대책이 정부 차원에서 마련돼야 할 것이다.
인증기관 역시 CC인증 적체 해소에 최대한 힘을 써야 한다. 우선 전문적인 평가인력을 빨리 양성하는 게 급하다. 그래야만 정보보호업체들이 적시에 CC인증을 받아 제품을 고객들에게 공급할 수 있다. 지금처럼 인증기간이 길어지면 적지않은 돈과 인력을 투입해 정보보호제품을 개발한 IT업체들이 애꿎은 피해자가 될 수밖에 없다.
국내 보안업체들은 CC인증이 활성화되면 공공기관과 대기업을 중심으로 웹 방화벽 등 보안시장이 활짝 꽃필 것으로 예상하고 있다. 업계의 이런 기대감을 외면하지 말고 정부와 인증기관은 CC인증 적체를 해소하기위해 발벗고 나서야 한다.