CC인증의 직접적인 당사자인 정보보호 업체들은 새로운 제도 변화에 대해 기대와 걱정을 함께 했다. 방향성은 대체적으로 공감하면서도 보완할 부분이 있다는 것이다.
먼저 인증 유효기간 신설에 대해서는 긍정적인 반응을 보였다.
한 보안 업체 관계자는 “국내 초기 보안 인증인 K시리즈는 3년의 인증 유효기간을 가지고 운영됐으나 CC로 단일화되면서 사라졌다”며 “이로 인해 정보보호제품 개발 업체의 오용과 사후 효력유지 관리 부재가 있었다”고 지적했다. 한번 인증을 받은 후에는 더 이상 신경 쓰지 않아도 된다는 생각에 관리가 소홀했고 결국 CC인증 받은 제품들에 대한 불신을 야기했다는 설명이다.
이 관계자는 “이번 CC인증의 유효기간 신설은 정보보호제품의 안전한 운영을 위한 사후관리에 대한 강화”라며 “그동안 인증만 받으면 끝이라고 생각하고 제품에 대한 생명주기를 태만 시 했던 일부 정보보호제품 개발업체에 3년이라는 제한된 시간을 부여, 제품의 안전한 사용을 위한 관리 시점을 갖게 한 것”이라고 평가했다.
하지만 인증 적체 문제는 여전한 해결 과제라는 반응이다. 1월 31일까지 인증을 갱신하지 못할 경우 평가 계약만으로 효력을 유지시켜 주기로 했지만 이는 임시방편일 뿐이란 지적이다. 앞으로 공공기관 뿐 아니라 금융과 일반 기업에서도 CC인증 제품에 대한 수요가 늘고, 또 신규 업체의 진입과 평가 대상 품목이 증가하는 추세로 볼 때 인증 대기 문제는 언제든 재발할 수 있다는 우려다.
또 다른 정보보호 업체의 인증 담당자는 “오는 2016년에는 네트워크 장비도 CC인증 대상에 포함된다고 하는데 인증 평가가 수요를 뒤따르지 못하는 게 걱정”이라고 말했다. 평가 기관 추가 선정의 목소리가 끊이지 않는 이유다.
아울러 국제 동향에 대한 대비도 필요하다는 지적이다. 국제CC인증은 현행 평가보증등급(EAL) 평가 기반에서 공동 보호프로파일(cPP) 기반으로 정책이 변경될 예정이다. 새로운 기준이 마련되는 것이기 때문에 변화에 대한 정보 습득과 참여가 필요한 시점이다. 이에 맞춰 한국CC사용자포럼(KCCUF) 준비위원회가 결성됐다. SGA〃안랩〃윈스테크넷〃하우리〃시큐아이〃이스트소프트〃엑스게이트 등 7개사가 참여한 KCCUF는 인증기관, 평가기관, 인증제품 사용 및 개발기업 간의 징검다리 역할과 국내 보안 기업 의견을 반영해 국제 기준 마련에도 반영해 글로벌 경쟁력을 키워나가겠다는 포부다.
윤건일기자 benyun@etnews.com
