내년 3월 `CCRA 국제협정서`가 개정되면서 현행 평가보증등급(EAL) 기반이던 국내 CC인증 시장에 대변화가 예상된다. 특히 cPP 미준용 제품은 EAL2 이하 등급이 적용될 예정이어서 국내 보안업체들은 cPP 개발 참여가 불가피해졌다. cPP는 국제공동 정보보호제품 유형별 보호프로파일을 말한다.
보안업계는 12년 만에 대대적으로 변화되는 CC인증제 도입을 앞두고 `사후인증제(Fast-track)`가 도입돼야 한다는 의견을 제시했다.
12일 하태경 새누리당 의원이 주최하고 지식정보보안산업협회와 국가보안기술연구소가 주관한 `정보보호 시스템 평가 인증제 이대로 좋은가?`를 주제로 한 정책세미나에서는 이 같은 의견이 개진됐다.
◇국내 CC인증 적체 현상 여전
CC인증 분야의 인력난은 고질적으로 해소되지 않고 있다. 대상 제품과 건수가 늘고 있으나 평가를 수행할 인력은 상대적으로 적다. 평가기관이 5개로 늘었지만 평가자 수는 63명에 불과하다. 문제는 내년되면 이 같은 CC인증 적체현상이 좀 더 심해질 수 있다는 점이다.
조규곤 지식정보보안산업협회장은 “보안기업이 늘고 CC인증을 신청하는 업체수도 늘면서 지금도 인증 적체현상이 있다”며 “빨리 업데이트를 해야 하는데 현재 사전 인증제를 사후인증제로 바꾸는 방안을 검토해야할 것”이라고 강조했다. 조건부 선인증을 받은 기업이 최종적으로 인증 획득에 실패할 경우 해당 기업에 불이익을 주는 보완책도 제시했다.
백승태 소만사 팀장 역시 “유효기간 제도 도입에 따라 갱신 및 신규 인증수요가 동시에 몰릴 경우 평가적체 현상이 심화될 수 있다”며 “짧아진 개발 생명주기에 따라 재평가 절차와 기간을 현실화 해야 한다”고 주장했다.
◇내년 CC인증 유효기간 제도 신설
정부는 올 3월 소스코드 보안약점 분석도구와 스마트폰 보안관리(MDM) 두 가지 기술을 CC인증 대상 품목으로 지정했다. 이와 함께 오는 2016년부터는 네트워크 제품도 CC인증 평가를 받도록 할 방침이다.
내년 1월부터는 `소스코드 보안약점 분석도구`를 국가 행정기관 및 공공기관에 납품하기 위해선 CC인증을 반드시 받아야 한다. 스마트폰 보안관리(MDM) 제품도 내년 6월부터는 CC인증을 받아야 한다.
이와 함께 CC인증 유효기간 제도가 신설된다. 내년 1월 31일부터 CC인증을 받은 보안 시스템과 솔루션을 3년마다 갱신해야 한다. 지금까지는 유효기간이 없었다.
유효기간제도가 도입되기 전에 인증을 받은 제품 역시 내년 2월 1일까지 인증서를 갱신해야 한다. 2011년 1월 31일 이전에 인증받은 제품이 재검증 대상이다.
국가보안기술연구소 관계자는 “내년 3월 이후 cPP 전용 제품에 대해서만 EAL4를 준용하고, 미준용 제품에 대해선 EAL2만 적용한다”며 “cPP 개발 참여가 시급한 상태"라고 강조했다. 국보연은 또한 평가기관의 전문성을 강화하고, 평가기관 간 기술을 공유해 나갈 계획이라고 설명했다.
김원석기자 stone201@etnews.com
