#정보보호 기업 Z사의 품질보증팀 김 팀장은 보안성 강화를 위해 기존 정보보호 제품 내 오픈소스 보안의 취약점을 패치하고 변경 승인을 신청했다. 그러나 재평가 대상으로 결정되는 바람에 회사 영업에 큰 부담을 주는 등 곤욕을 치렀다.
앞으로 이 같은 문제점은 대폭 개선될 것으로 보인다.
과학기술정보통신부는 지난달 7일 '정보보호 제품 인증·평가 기준 완화'를 포함한 '2021년 달라지는 정보보호 제도와 지원사업'을 발표했다. 주요 내용으로 공통평가기준(CC) 인증 변경 승인을 활성화하고 국내용 CC인증 유효기간을 5년으로 확대, 기업의 평가 부담을 경감시키는 것이 포함됐다. 이와 함께 스타트업 등 신생 정보보호 기업 대상으로 CC인증 제도 기본 교육과 소스코드 자가진단 도구 이용 지원, 인증 기간 단축을 위한 평가자 양성 교육 통합 운영, 대기 기간과 평가 진행 상황을 원스톱으로 확인할 수 있는 CC인증 평가 통합 정보 안내 사이트 개설 등 기존 기업 및 신생 기업과 평가 기관 대책이 고루 포함됐다.
이 가운데서도 보안 패치로 인한 기능 변경에 대해 변경 승인을 활성화하는 부분은 업계 애로 사항 해소에 큰 역할을 할 것으로 기대된다. 변경 승인 대상으로 인정되면 재평가와 비교, 비용과 기간 측면에서 기업 부담이 대폭 줄어들기 때문이다. 그동안 CC인증 제도는 변경 승인 기준이 엄격해 일부 기능만 변경하더라도 대부분 재평가 절차를 진행해야 했다. 이로 인해 대부분이 중소기업인 국내 정보보호 기업에 시간과 금전 부담이 컸다. 재평가 대상 증가는 CC인증 평가 적체로도 연결돼 평가 시 1년 넘게 대기하던 문제의 원인으로 지목되기도 했다. 재평가의 불확실성 및 모호성으로 말미암아 기업은 사업 계획 수립에 어려움이 생기고, 재평가 기간에는 사업 연속성 문제까지 불거지는 때도 있었다.
이번 제도 개선으로 우리 정보보호업계가 오랜 기간 앓아 온 문제를 해결할 실마리가 될 것으로 기대한다. 개선안은 지난해 6월부터 민·관 태스크포스(TF)를 통해 꾸준히 논의하고 다양한 목소리를 반영했다는 데 우선 의미가 있다. 업계의 모든 요구 사항이 수용됐다거나 CC인증 문제점이 완전히 해소됐다고 볼 수는 없지만 보안업계의 오랜 숙원이 하나둘 해결되고 있다는 데 더 큰 의미가 있다.
코로나19로 비대면 시대가 도래하고 정보통신기술(ICT)을 활용한 다양한 비대면 서비스가 일상화했다. 그 결과 다양한 실생활 서비스를 디지털화하는 디지털 전환이 빠르게 이뤄졌다. 그러나 이용자 정보나 금전을 노리는 사이버 위협도 함께 증가했다. 사이버 위협은 사이버 세상뿐만 아니라 실생활에도 심각한 피해를 초래한다.
정부 CC인증 제도 개선은 급변하는 상황에서 신속 대응을 생명으로 하는 정보보호 산업이 한 단계 도약하는 데 밑거름으로 작용할 것이다.
정부·공공에 정보보호 제품을 납품하기 위한 필수 요소로 자리 잡은 CC인증 제도가 도입된 이래 국내용 평가·인증 제도 신설, 정책기관 변경 등 여러 제도 개선이 진행돼 왔다. 앞으로도 이 같은 개선 노력은 지속해야 한다. 시대 변화에 따라 보안 인증 제도도 변화해야 하며, 새로운 시장에 걸맞은 보안 인증 제도도 필요하다.
일각에서는 편의성을 좇다가 자칫 보안성이 약화하는 것은 아닌지 우려하는 목소리도 있다. 우리 정보보호업계는 정부의 개선 노력이 헛되지 않도록 평가·인증 제도 본연의 취지인 이용자 보안 요구를 충족시키는 제품을 상시 제공할 수 있도록 신속 위협·대응 체계를 확립하는 등 노력을 더 많이 해야 한다.
디지털 전환 혁신 속에서 기존 사이버 보안 대응 체계로는 새롭게 발생하는 위협에 대응하는 데 한계가 있다. 보안 역시 새로운 패러다임에 맞춰 신기술 기반 대응이 필요하지만 국내에서는 신기술 접목과 상용화에 제한이 없지 않았다. 이번 제도 개선이 국내 정보보호 산업 발전을 촉진하고 포스트 코로나 시대를 대비한 혁신 마중물이 되기를 바란다.
이동범 한국정보보호산업협회(KISIA) 회장 dblee@genians.com