공통평가기준(CC)인증이 신청 폭주에 따른 지체 현상이 심각한 것으로 드러났다. 평가 대기 시간만 통상 1년이 넘게 걸려 업계 원성이 높다. 지난 2008년 평가 적체 현상을 해소하기 위해 민간 CC인증 평가 기관을 확대했지만 전혀 개선되지 않고 있다. 근원적인 문제 해결이 시급하다는 지적이다.
12일 업계에 따르면 새해 들어 CC인증 적체 현상이 더욱 심각해진 것으로 나타났다. 주된 이유는 올해부터 CC인증 대상 품목이 늘었기 때문이다. CC인증 의무 대상에 모바일 단말관리(MDM)와 소스코드 보안 취약성 분석도구(시큐어코딩), 전자여권 등이 추가됐다.
게다가 올 2월부터 인증의 유효기간이 3년으로 지정된다. 이에 기존 제품의 인증효력을 유지하기 위한 재심사까지 몰려 적체현상이 악화됐다. 소프트웨어(SW) 기업들은 다음 달 1일까지 기존에 인증을 받은 제품의 인증서를 갱신해야 한다.
서버 가상화 기반 솔루션 업체 A사는 지난해 2월 한국시스템보증과 사전 검증을 거쳐 평가 계약을 체결했다. 하지만 지금까지 대기 중이다.
이 회사 담당자는 “기관에서 오는 5월쯤엔 심사가 진행될 수 있다고 하지만 반신반의하고 있다”며 “당장 올 공공사업 참여에 차질이 있어 답답할 지경”이라고 털어놨다.
또 다른 SW 기업은 “국내 CC인증을 대체할 수 있도록 보안 적합성 심사를 실시하고 있기는 하지만 이 또한 번거롭고 시간도 많이 소요된다”며 “현재 손을 놓고 기다릴 수밖에 없는 상황”이라고 말했다.
시큐어코딩 업계는 더욱 심각하다. 올해부터 공공기관은 시큐어코딩 제품을 공공 정보화사업(20억원 이상)에 의무 적용해야 한다. 즉, 관련 솔루션 업체는 CC인증을 받아야 공공 사업에 참여할 수 있다. 하지만 아직 시큐어코딩 공급 업체 가운데 인증을 받은 곳이 단 한 곳도 없다. 인증 평가계약을 한 곳으로는 파수닷컴이 유일하다. 현재 시큐어코딩은 한국인터넷진흥원(KISA)만 평가를 하고 있다.
적체 현상은 이미 지난해부터 예견됐다. 특히 시큐어코딩은 평가수요가 한꺼번에 몰려 적체를 피할 수 없을 것으로 봤다. 업계는 정부의 늑장 대응에 강한 불만을 제기하고 있다.
업계 한 관계자는 “CC평가 계약 후 대기에 보통 1년은 기다리고 있고, 또 심사에 최소 3개월이 걸린다”며 “업체는 적절한 시장 진입 시점을 놓쳐 심각한 영업 손실을 보고 있는데, 오히려 평가기관과 정부는 이를 대수롭지 않게 여기고 있는 게 더 큰 문제”라고 지적했다.
현재 CC인증은 국정원 산하 국가보안기술연구소(이하 국보연)가 인증기관 역할을 대행하며, KISA·TTA·한국시스템보증 등 5개 평가기관이 인증업무를 대행하고 있다.
해결 방안은 크게 두 가지다. 현 5개 평가기관이 관련 인력을 대폭 늘리거나 인증기관인 국보연에서 평기기관을 더 늘려 업무를 분산시키는 방법이다.
국보연 측은 “앞으로 늘어날 CC인증 수요에 대비해 평가기관을 확대하는 것을 검토 중”이라며 “하지만 당장 평가기관으로 선정할 만한 적합한 기관은 없는 실정”이라고 말했다.
성현희기자 sunghh@etnews.com
