[시큐리티톱뷰]<85>조대일 한국시스템보증 대표

“국제공통평가기준(CC) 기반 보안성 평가 인증을 획득하는데 어려움을 겪는 정보보호기업을 지원합니다.”

조대일 한국시스템보증 대표는 민간 평가기관이지만 단순히 매출만 생각하는 것이 아니라 정보보호 제품 수준 향상과 공공기관 보안성 강화에 일조하는 사명감을 강조했다.

조 대표는 한국인터넷진흥원 전신인 한국정보보호진흥원에서 보안제품 평가를 담당하다 2006년 우리나라가 CCRA에 가입하자 한국시스템보증을 설립했다. 민간평가기관 1세대다.

"정보보호 제품 CC평가 인증은 선택이 아닌 필수입니다. 평가와 인증을 필요로 하는 제품이 확대되고 공통평가기준과 공통평가방법론은 지속적으로 변화합니다. CC평가 제도가 시행된지 8년이 지났지만 여전히 어려워하는 기업이 많습니다.”

조 대표는 기존에 CC평가를 준비하지 못하고 부담만 가진 기업에 길을 제시한다.

“수준 높은 정보보호 제품 평가는 더 긴 기간과 평가자의 노력이 필요합니다. 국내기업은 대부분 빠르게 평가를 받는데만 집중하는 경향이 강합니다. 제품의 완성도를 높이는데 더 관심을 가져야 합니다.”

그는 CC평가로 정보보호 제품 품질을 높일 수 있다고 강조한다. 최근 공격자는 국내 보안 제품 취약점을 찾아 공격한다. 조 대표는 “100% 완벽한 보안 제품이나 소프트웨어는 없다”며 “하지만 평가마저 없으면 제품 수준은 더 하락한다”고 설명했다.

한국시스템보증은 고등급과 국제 CC평가 역량을 높이는데 노력을 기울이고 있다. 조 대표는 “스마트카드 등 고등급 평가자 양성에 힘쓰고 있다”며 “단순히 선임평가 인력을 스카우트하기보다 관련 분야 전공자를 뽑아 전문교육을 지원한다”고 밝혔다. 평가기관이 평가자를 양성해야 선순환 구조를 만들 수 있기 때문이다.

조 대표는 “각종 국책 연구개발 과제 결과물이 나오면 국제 CC평가를 받는 구조를 만들어야 한다”며 “정부가 지원해 만든 결과물이 국제 경쟁력을 갖추는 방법”이라고 조언했다. 그는 “CCRA 가입 후 국제 CC평가도 국내서 가능하지만 대부분 국내용 CC평가만 받는다”며 “민간평가기관이 경쟁력을 갖추려면 국제 CC평가가 늘어나야 한다”고 덧붙였다.

조 대표는 “보안은 약이 아니고 보약이다”라며 아프면 먹는 것이 아니라 몸에 면역력을 키우는 활동이라고 강조했다.

김인순기자 insoon@etnews.com