국제공통평가기준(CC:Common Criteria) 제도가 명칭에 걸맞지 않게 내수용으로만 활용되고 있는 것으로 나타났다. 국내 보안 업체들이 해외 시장 개척을 역점을 두기보다 국내 시장에만 안주했기 때문이라는 평가다.
31일 발간된 `2012 국가정보화백서`의 CC인증 현황에 따르면 국제용 CC인증 획득 건수가 현저히 적은 것으로 드러났다. 2012년 6월 말 기준으로 올해 들어 국내용 CC인증은 39건이었는데 반해 국제용 CC인증은 건에 그친 것으로 확인됐다.
지난 2011년에도 국제용 3건에 국내용 61건, 2009년 국제용 2건, 국내용 68건 등 전반적으로 국제용 CC인증 획득 건수는 극히 드물었다. 2010년도에 국제용 CC인증이 소폭 상승했지만 제도가 시행된 2003년부터 올해까지 국내용은 총 307건인 데 반해 국제용 CC인증은 59건에 불과했다.
IT 제품에 구현한 보안 기능의 안정성과 신뢰성을 국가에서 보증하는 CC인증은 국내용과 국제용으로 구분된다. 국내용 CC를 받은 제품은 해외 수출시 CC인증 효력이 없어 국제용 CC인증을 받아야 한다. 보안 업체들이 국내용 CC인증에 몰리는 것은 국내 공공기관에 제품을 납품하는 것을 우선시하기 때문으로 풀이된다.
여기에 정부의 중소기업 지원 정책도 한몫 했다. 2008년부터 한국인터넷진흥원(KISA)은 중소 정보보호업체 지원을 위해 국내용 평가수수료를 50% 할인해 주고 있다. 할인정책 지원 후 지금까지 36개 기업이 약 10억원의 할인혜택을 받은 것으로 집계된다. 하지만 국제용은 글로벌 표준 가격이 있기 때문에 할인이 쉽지 않다. 수요가 많지 않은 국제 CC인증에 굳이 정부에서 할인까지 해줘야 할 여력이 없다.
정보보호 업체 관계자는 “국제용 CC인증을 획득하려면 국내용 CC인증 비용의 2배를 지불하고 국제용 CC인증에 걸리는 기간도 오래 걸리기 때문에 수출 계획이 없는 국내 보안 업체라면 굳이 국제용으로 CC인증을 받아야 할 이유가 없다”고 말했다.
정부의 한 관계자는 “정보보호 업체의 해외 진출 국가는 일본, 동남아 시장이 대부분인데 이들 국가에서는 CC인증을 거의 요구하지 않기 때문에 국제용 CC 획득 숫자가 적은 것”이라며 “국제용 CC를 독려하고 있으나 쉽지 않다”고 설명했다. 이 관계자는 “국내 업체들의 경쟁력 강화를 위해 국제용 CC인증 획득을 장려할 방안을 지속적으로 연구 중”이라고 덧붙였다.
한편 2012 국가정보화백서에 따르면 국내용 평가 인증을 받은 제품의 경우 방화벽, 침입방지시스템, 접근통제시스템 등 네트워크 장비유형이 192건으로 국내용 인증 제품 수 대비 약 63%로 가장 많은 인증유형이다. 국제용 평가 인증제품에서는 스마트카드 16건, 디지털복합기 13건으로 전체 국제용 인증의 약 50%를 차지한다.
CC인증 평가·인증 현황
장윤정기자 linda@etnews.com