국가보안기술연구소(이하 국보연)가 내달 국정감사에서 공통평가기준(CC) 인증 적체에 관한 집중 질의를 받을 것으로 예상된다.
25일 국회 과학기술정보방송통신위원회 소속 조명희 국민의힘 의원이 국보연으로부터 제출받은 자료에 따르면 국보연은 CC인증이 적체되는 이유로 '평가기관 평가자 부족'을 꼽았다. 〈본지 8월 7일자 1면 참조〉
한국인터넷진흥원(KISA)을 제외한 5개 평가기관 평가자는 현재 67명으로 집계됐다. 2006년 국내 CC인증 제도 도입 당시 40명에서 27명 증가한 수준이다. 올해처럼 CC인증 평가 수요가 증가하면 대기와 적체가 발생할 수밖에 없는 구조다.
지난 10년간 연도별 CC인증 발급 건수는 △2010년 78건 △2011년 64건 △2012년 74건 △2013년 49건 △2014년 92건 △2015년 109건 △2016년 78건 △2017년 78건 △2018년 56건 △2019년 74건 △2020년(8월까지) 46건으로 나타났다. 올해 평가 대기 제품 40개를 더하면 전년 대비 12건 늘어났다.
국보연 관계자는 “올해 CC인증 적체는 평가 수요가 늘어나 대기 기간이 길어졌기 때문”이라면서 “실제 평가에 걸리는 시간은 동일한 만큼 민간 평가기관에 대기 기간 단축을 위해 인력을 확충하라고 요구하긴 어렵다”고 설명했다.
업계에선 평가자 확충 문제와 함께 과도한 재평가 요구도 개선돼야 한다고 지적한다.
업계 관계자는 “평가자 확충은 여러 대안 가운데 하나로 논의되고 있다”면서 “무엇보다 IT보안인증사무국에서 과도한 재평가를 요구하는 것이 해결돼야 한다”고 말했다. 그는 “IT보안인증사무국은 취약점이 한 건 발견될 때마다 이미 평가를 거친 제품도 재평가를 요구해 왔다”면서 “이로 인한 업계 어려움이 심각하지만 불이익을 우려해 의견 전달조차 어렵다”고 토로했다.
IT보안인증사무국 업무가 국보연 주요 업무가 아니라는 점도 업계 어려움을 가중한다.
업계 관계자는 “보안업체 입장에선 IT보안인증사무국 업무가 가장 중요하지만 국보연 내부에선 그렇게 보지 않는다”면서 “CC인증은 보안업계 사활이 달린 문제인 만큼 국보연이 인증기관 업무를 강화해야 한다”라고 말했다.
과학기술정보통신부는 CC인증 제도 개선안을 연내 제시할 예정이다.
정재욱 과기정통부 사이버침해대응과장은 “내달 초 관계기관 협의를 마무리할 계획”이라면서 “업계 어려움 해소와 보안 강화라는 두 마리 토끼를 다 잡을 수 있도록 개선안을 준비하고 있다”고 말했다.
업계 애로사항 청취를 위한 소통 창구도 마련된다.
국보연 관계자는 “소통 창구가 부족하다는 지적에 따라 이를 확보하기 위해 노력 중”이라면서 “CC인증 평가 착수 시 업계 의견수렴을 확대하고 평가 진행 과정에서도 의견수렴을 추진하겠다”고 말했다.
국보연에 대한 국감 질의는 내달 20일 진행될 예정이다. 질의 답변에는 오는 28일 신임 소장으로 취임하는 최효진 창원대 교수가 나설 것으로 보인다.
조 의원은 “보안 제품 신뢰성 확보를 위해 시행된 CC인증 제도가 또 다른 규제로 작용하고 있다”면서 “과기정통부 등 관계기관은 CC인증 적체와 지연으로 기업 존망이 결정되기도 한다는 점을 무겁게 새기고 대책 마련을 서둘러야 한다”고 말했다.
오다인기자 ohdain@etnews.com