공통평가기준(CC)인증 폭주 문제가 현실로 나타났다. 인증 평가기관들의 업무 과부하로 시큐어코딩 CC인증의 평가가 후순위로 밀려나면서 업계의 원성이 높아지고 있다. 당장 평가접수를 받아 시행하더라도 연내에 인증을 받기가 쉽지 않은 상황이어서 내년 사업에 차질이 불가피할 전망이다. 업계는 시큐어코딩 의무화 유예기간을 6개월 더 늦춰야 한다고 주장하고 있다.
30일 업계에 따르면 시큐어코딩 CC인증 평가를 하겠다고 나선 TTA와 한국시스템보증(KOSIAS)이 아직도 평가 시일을 확정하지 못했다. 앞서 기존 CC인증 평가 5개 기관 중 3개 기관은 하지 않겠다는 입장을 밝혔다.
내년부터 공공기관은 시큐어코딩 제품을 공공 정보화사업(20억원 이상)에 의무 적용해야 한다. 따라서 관련 업체들에는 CC인증이 `필수` 인증이다. 하지만 정부의 늦장 대응으로 올해 안에 시큐어코딩 CC인증을 받아 내년 공공사업에 참여할 수 있는 업체가 없을 가능성이 높아졌다.
◇평가 대상 우선순위에서 밀려
한국인터넷진흥원(KISA)은 TTA, KOSIAS에 시큐어코딩 CC인증 평가 관련 기술을 이전하고 이달 말부터 평가를 시작할 수 있도록 적극 추진한다고 밝힌 바 있지만 계속해서 늦춰지고 있다.
TTA, KOSIAS 측은 이미 내부에서는 평가 심사를 위한 준비 작업은 마쳤고, 국가보안기술연구소(이하 국보연)의 최종 승인만 기다리고 있는 입장이라고 주장했다.
박준우 TTA CC인증평가팀장은 “국보연에서 최종 승인을 해줘야 평가심사를 할 수 있다”며 “이들과 현재 협의하고 있는 단계”라고 말했다. 언제부터 평가심사가 가능할지에 대해선 알 수 없다고 잘라 말했다.
KOSIAS 측은 “연말이나 내년 초 정도가 되어야 시큐어코딩 진단 도구의 평가를 시작할 수 있을 것”이라고 예상했다.
업계는 그동안 인증 평가기관들이 적극적으로 나서지 않았던 게 평가기관 선정 작업을 늦춘 요인으로 분석했다. 올해부터 인증 대상 제품이 대폭 늘면서 평가기관들의 업무 과부하로 평가 지체현상이 일어나고 있기 때문이다. 이에 시큐어코딩 인증평가가 업무 우선순위에서 자연스레 밀렸다는 평가다. KISA는 최근 CC인증 평가 대상으로 추가된 스마트카드 영역에 업무가 집중돼 있다.
강필용 KISA 평가검증팀장은 “당장 진행하지 못하는 것일 뿐 계속 안하겠다는 것은 아니다”며 “연말에는 가능하지 않을까 싶다”고 말했다.
◇6개월 유예기간 연장 필요성 제기
시큐어코딩 관련 솔루션 업체들은 이미 지난 3월 국보연이 시큐어코딩 관련 CC인증 기준을 공개했을 때부터 전략적으로 인증 평가 준비를 해왔다. 하지만 심사 평가에 걸리는 3~4개월을 고려하면 당장 평가기간이 확정돼야 내년 사업에 참여할 수 있다.
업계는 올해 안에 평가 기관이 확정되더라도 평가수요가 한꺼번에 몰리면 적체가 예상돼 일부 기업이 피해를 볼 수 있다고 주장한다. 이에 시큐어코딩 의무화 유예기간을 오는 12월에서 내년 상반기까지 연기해야 한다는 입장이다.
이에 대해 안행부 측은 “검토는 하고 있지만 사실상 내년 1월에 발주되는 프로젝트는 많이 없을 것으로 예상된다”며 “현장에서 이러한 상황들을 감안해서 늦춰 발주하지 않겠냐”고 답했다.
현재 시큐어코딩 관련한 CC인증을 준비하고 있는 업체로는 지티원, 파수닷컴, 트리니트소프트 등이다. 이들 국산 업체 외에도 한국HP, 한국IBM 등도 준비하고 있어 업계의 관심을 사고 있다.
시큐어코딩 CC인증 평가기관 관련 현황
성현희기자 sunghh@etnews.com
