2016년 1월부터 공공기관 도입 네트워크장비에 국제공통평가기준(CC) 인증 적용이 의무화됐으나 인증을 추진 중인 기업이 거의 없어 제도 도입을 앞두고 인증대란이 우려됐다.
제품별로 제출물 작성 교육과 컨설팅, 요구 기능 개발에 최소 3개월, 인증까지 6개월이 걸리는 데 인증기관도 5곳으로 적어 수십개 기업이 막판에 한꺼번에 인증을 추진할 경우 인증 과부하가 불가피하기 때문이다.
16일 업계에 따르면 5개 인증 평가기관에 인증 관련 문의를 해온 네트워크장비 업체가 거의 없는 것으로 파악됐다. 지난 4월 신규 CC인증 평가기관으로 지정된 한국정보보안기술원의 경우 CC 인증 문의가 많을 것으로 예상했지만 현재까지 단 한 건의 문의도 없었다.
황창환 한국정보보안기술원 이사는 “순수하게 CC인증을 받는 기간만 3개월이 때문에 여기에 교육과 컨설팅, 추가 기능 개발까지 포함하면 한 제품당 총 6개월가량이 필요하다”며 “현재 한국 네트워크산업협회(KANI)에만 60여 회원사가 있는 데 이들이 한꺼번에 몰리면 2016년부터 심각한 인증적체가 발생할 수 있다”고 말했다.
네트워크장비에는 CC인증이 처음 도입되기 때문에 평가인증의 개념부터 평가 절차, 규격 안내, 각종 제출물 작성방법 등에 대한 전반적인 교육이 필요하다. 이후 실질적인 준비 과정에서 필요한 컨설팅과 요구사항을 위한 프로그램 개발이 뒤따라야 한다. 적지않은 준비기간이 필요해 미리 준비하지 않으면 낭패를 볼 수 있다는 설명이다.
현재 국가보안기술연구소에서 네트워크장비에 적용할 CC인증 규격과 평가기준을 만들고 있다. 이미 대부분 규격이 완성돼 있어 인증 준비를 시작하는 데는 큰 무리가 없다는 게 몇몇 인증 평가기관의 설명이다.
또 다른 CC인증 평가기관인 한국정보통신기술협회(TTA) 관계자는 “정부에서 발표할 규격과 평가기준이 갑자기 생기는 게 아니라 보안적합성 검증을 비롯한 기존 규격을 중심으로 개발될 것”이라며 “실제 인증 준비과정에서는 여기에 맞춰 교정하고 추가하는 작업이 진행될 것”이라고 말했다.
하지만 현재 네트워크장비 업계는 10월부터 적용되는 보안적합성 검증 준비에 집중하고 있다. 당장 발등에 떨어진 불 때문에 1년여 후에 있을 CC인증은 미처 신경을 쓸 겨를이 없다는 게 대부분 업계 반응이다.
한 업계 관계자는 “CC인증이 중요한 것은 알겠지만 당장 보안적합성 검증을 준비하느라 신경을 쓸 여력이 없다”며 “대부분 규격이 정해졌다지만 그래도 정부의 공식적인 발표가 있고 난 후에야 비로소 업계가 움직이지 않겠느냐”고 말했다.
몇몇 평기기관은 올해 안에 정부 규격 발표와 설명회가 열릴 것으로 내다보지만 CC인증 업무의 미래부 이관과 맞물려 늦어질 가능성도 있다. 이 때문에 일부 네트워크장비 업체는 CC인증 의무화 시기를 늦춰야 한다는 주장을 하고 있다.
안호천기자 hcan@etnews.com
