CC인증 '장벽'에 보안 신기술도 좌절

게티이미지뱅크
게티이미지뱅크

공통평가기준(CC) 인증이 보안 신기술 발전을 가로막는 것으로 지적됐다. 특히 보안 스타트업은 새로운 보안 기술을 개발하고도 CC 인증 평가 항목에 포함되지 않아 시장 진입에 제약을 받고 있었다.

15일 업계에 따르면 스타트업을 비롯한 국내 보안업체 다수가 CC 인증으로 인해 신기술 상용화에 어려움을 겪고 있었다.

한 보안 스타트업은 기존에 없던 새로운 보안 기술을 개발해서 시장 공급을 준비했지만 고객사로부터 CC 인증을 받아오라는 요구를 받은 뒤 사업 진행이 지체되고 있다.

이 업체 대표는 “기존 보안 기술보다 더 안전하고 편리한 기술을 개발했는데 CC 인증을 받기 위해 오히려 과거 기술을 제품에 적용해야 할 상황”이라면서 “지금부터 과거 기술 기반 모듈을 개발해 제품에 적용하려면 최소 1년 이상 걸릴 수밖에 없다”고 토로했다.

CC 인증을 받으려면 CC 인증 대상 제품 23종 유형별로 국가정보원 보호프로파일(PP)에서 규정한 방식을 충족시켜야 한다. 예컨대 웹 방화벽 제품은 PP에서 정의된 '인라인 방식'과 '리버스 프록시 방식' 가운데 보안 기능 요구 사항을 충족하는지 평가받는다. 보안 기능이 이 두 가지 방식에 해당하지 않는다면 CC 인증을 받을 수 없다.

신기술을 개발한 또 다른 스타트업은 CC 인증에 가로막혀 국내 시장 공급이 어려워지자 해외 보안 인증 취득으로 발길을 돌렸다.

이 업체 대표는 “국내에선 PP에 맞춰야만 공공기관에 납품할 수 있는데 기존 유형과 다른 솔루션이다 보니 맞출 수가 없었다”면서 “공공기관 도입 시 보안 신기술을 검증해야 할 필요는 인정하지만 새로운 업체가 시장에 진입조차 하지 못하는 구조는 불합리한 것 같다”고 지적했다.

CC 인증은 과거 보안 제품군을 바탕으로 만들어졌다. 기존 보안 제품에는 보호막이 되지만 새로운 보안 제품은 진입이 불가능한 구조라는 것이다.

업계 관계자는 “현재로선 스타트업이 새로운 보안 기술을 만들어도 CC 인증이라는 벽에 부닥쳐서 좌절할 수밖에 없다”면서 “공산품처럼 똑같은 보안 제품만 만들도록 종용하는 제도는 개선하고 기술력 있는 보안 스타트업이 성장할 수 있는 발판을 마련해야 한다”고 강조했다.

공공기관에서 보안사고 면피를 위해 CC 인증 대상이 아닌데도 CC 인증을 요구하는 관행은 문제로 지적된다.

업계 관계자는 “보안 제품 가운데 CC 인증 대상이 아닌 품목도 있지만 상당수 공공기관 담당자는 CC 인증을 요구한다”면서 “공공기관 보안과 산업 발전을 위해 신기술 도입을 가로막는 오래된 관행”이라고 말했다. 이 관계자는 CC 인증 대상 품목을 공공기관 담당자에게 명확히 고지하고 CC 인증 비대상 품목을 패스트트랙으로 추진하는 방안을 대안으로 제시했다.

이와 관련해 과학기술정보통신부는 국정원, 국가보안기술연구소와 함께 CC 인증 개선 방안 마련에 속도를 내고 있지만 현장에서 체감할 개선은 이뤄지지 않고 있다.

정재욱 과기정통부 사이버침해대응과장은 “시급한 CC 인증 재평가 기준에 관해 국정원과 협의하고 있다”면서 “1단계 제도 개선 이후 보안 신기술 분야 문제 제기에 관해 국정원과 함께 검토하겠다”고 말했다.

오다인기자 ohdain@etnews.com