[사설]숨통 트인 보안인증 적체

 보안업계가 오랫동안 요구해온 인증 적체 문제가 다소나마 숨통이 트일 것으로 보인다.

 그동안 보안업체들은 정보보호 제품을 공공기관에 판매하기 위해서는 국제공통평가기준(CC) 인증과 보안적합성 검토라는 이중의 절차를 거쳐야 했다. 그런데 CC인증 하나만 하더라도 국제용은 신청 후 평균 1년 6개월이나 걸리는 등 인증을 따는 데 시간이 너무 오래 걸렸다. 1년여 넘게 시간을 들여 CC인증을 따더라도 공공기관에 납품하기 위해서는 보안적합성 검증이라는 절차를 또 밟아야 했다. 보안업체들이 공공기관에 납품하기 위해서는 무려 2년 가까운 시간을 인증과 보안 검증에 소비해야 하는 것이다. 여기에 들어가는 비용도 비용이거니와 2년이라는 시간은 요즘처럼 신기술이 하루가 다르게 쏟아지는 현실에 비추어 너무 길다. 신제품이라고 만들었는데 막상 2년 후 제품을 판매할 수 있다고 한다면 누가 그것을 신제품으로 여기겠는가.

 이런 문제점을 해결하기 위해 정부는 한국정보보호진흥원(KISA)에서만 수행하던 인증 업무를 확대, 지난해 한국산업기술시험원(KTL)과 한국시스템보증(KOSYAS)이라는 두 민간단체에도 CC인증 업무를 부여했다. 하지만 평가원 부족과 기관마다 다른 수수료 등 여러 문제 때문에 인증 적체 현상이 좀처럼 개선되지 않고 있다. 이런 상황을 타개하기 위해 국정원이 어제 새로운 대책을 내놨다. CC인증만 받으면 보안적합성 검증을 받지 않아도 공공기관에 납품할 수 있도록 한 것이다.

 국정원이 수행하는 보안적합성 검토는 최악의 경우 4개월이 넘어가지만 보통 2·3개월이 걸린다. 즉, 보안업체 쪽에서는 현재보다 2·3개월 앞서 공공기관에 제품을 납품할 수 있게 된 것이다. 한발 더 나아가 국정원은 국내 영업만을 위한 CC인증은 평가 기간을 현행 6개월에서 3.5개월로 단축하고 이에 필요한 필요한 구비 서류도 줄였다.

 각종 규제 타파와 세계에서 제일 기업하기 좋은 환경을 만들자고 강조하고 있는 이명박정부인만큼 이에 부응해 국정원이 보안 인증 절차를 간소화한 것은 매우 잘한 일이다. 하지만 여기에 그쳐서는 안 된다. 비록 보안적합성 단계가 후 검증으로 바뀌고 국내용 CC인증 서류가 간소화됐지만 보안업체 처지에서 보면 인증 절차는 여전히 높은 벽이다. 그런 의미에서 제대로 된 CC 계약서만 있으면 CC인증을 받지 않아도 공공기관에 우선 납품할 수 있는 보다 획기적인 개선안도 고려해 볼 만하다. 물론 이번에 내놓은 새 대책이 제대로 시행되는지 모니터하고 계도하는 노력도 있어야 할 것이다.