[기자수첩]보안 인증, 근본 개선안 내놔야

보안 스타트업 A사는 강제로(?) 해외시장에 내몰리는 상황에 처했다. 클라우드 보안 신기술을 개발했지만 국내 공공 시장에 진출하지 못했기 때문이다. 공공기관에선 공통평가기준(CC) 인증을 받아오라 하고 CC 인증 과정에는 이 기술을 심사할 기준이 없다. A사는 CC 인증으로 골머리를 앓다가 CC 인증만을 위한 전담 인력까지 채용했다. 이 직원은 지난 1년여 동안 CC 인증을 받기 위한 방법을 모색했지만 결국 포기했다. 결국 해외 시장으로 눈길을 돌릴 수밖에 없게 된 사연이다.

클라우드 보안 시장이 인증 때문에 골머리를 앓고 있다. 한국인터넷진흥원(KISA)이 클라우드 보안 인증 제도를 운영하지만 어떤 제품은 CC 인증을 먼저 받아야 한다. 국가보안기술연구소 역시 곤란하다는 입장이다. 정적인 환경에서 제품 보안성을 평가하는 CC 인증은 실사용자가 참여하는 클라우드 환경 보안성을 장담할 수 없기 때문이다.

정부는 코로나19 사태 이후 '디지털 뉴딜'과 'K-사이버방역' 정책을 내놨지만 클라우드 보안과 CC 인증 개선에 관해서는 별말이 없다. 고도로 복잡하고 어렵기 때문으로 이해된다. CC 인증을 발급하는 국가상호인정협정(CCRA) 회원국 다수가 클라우드 시대 보안 인증을 놓고 비슷한 고민에 빠진 상태인 것으로 알려져 있다.

정부 고민이 길어지는 만큼 보안 스타트업과 중소 보안업체 생존은 위태로워진다. A사처럼 해외로 나가거나 오랜 기간 개발한 기술을 포기하는 사례도 나온다. 일부 업체에 국한된 문제가 아니다. 인증 때문에 어려움을 겪은 한 보안업체 대표는 CC 인증을 두고 “보안업계 목에 걸린 개줄”이라고까지 표현한다.

보안 인증은 업계가 가장 어려워하는 사안이다. 그렇다고 정부에 보안성 평가를 대충 빨리 해 달라는 얘기는 아니다. 시대가 변하는 만큼 보안 인증 제도도 변화해야 한다는 목소리다. 새로운 시장에 걸맞은 새로운 보안 인증 제도가 필요하다.

다행히 정부는 올해 안에 CC 인증 개선안을 내놓겠다고 했다. 클라우드 보안 문제를 더욱 적극 해결할 근본 개선안을 기대한다.

오다인기자 ohdain@etnews.com