[표류하는 보안기능확인서] 〈하〉新·융합 제품에 부합해야

사이버 공격이 진화함에 따라 신(新)·융합 정보보호제품 필요성도 커지고 있다. 그러나 기존 정보보호 제품과 조금만 달라도 공공분야 진입에 필요한 인증을 받기 어려운 게 현실이다. CC인증과 병용 가능한 보안기능확인서는 가장 까다로운 제도로 떠올랐다.

보안기능확인서를 발급했거나 준비하는 기업은 현재 약 10개, 제품은 약 20개다. 다수 제품이 CC인증 대상이고, 일부가 신제품이다. 신제품으로 보안기능확인서를 발급한 기업은 아직 없다. 연초부터 다수 기업이 승인 절차를 시작했지만 모두 심사 과정에 묶여 있다.

규격 심사 관련 제출물 작성 단계까지 이른 기업·제품도 거의 없다. 이에 일반보안요구사항 단계에서 아예 인증을 포기하는 기업도 있다.

보안기업 관계자는 “보안기능시험 진행 도중에 새로운 테스트 시나리오가 적용되는 경우도 있다”면서 “평가기관에 질의해도 명확한 답변을 받지 못하는 사례도 많다”고 말했다.

보안기업은 신·융합 정보보호 제품에 대한 보안기능확인서 승인 이전 과정에서 불확실성을 제거해야 한다고 주문했다.

명확한 가이드라인 수립이 필요한 것으로 보인다. 최대 난제로 꼽히는 일반보안 요구사항 작성 관련 세부 지침을 제공, 예측 가능성을 제고해야 한다는 게 이들 기업의 목소리다. 이와 함께 단계별 소요 기간을 지정, 기업이 인증 기간을 예상할 수 있도록 운용해야 할 것을 제안했다.

평가기관 확대와 평가 비용 인하도 시급하다. 현재 5개 평가기관 가운데 신·융합제품을 평가할 수 있는 기관은 2곳에 불과하다. 비용은 컨설팅 등 자문료가 발생, 기존 인증보다 3~5% 많이 소요되고 있다.

보안기능확인서를 통한 신·융합 제품 인증 안착에 상당한 기간이 소요될 수 있는 만큼 CC인증 패스트트랙 등 다양한 대안 제도를 활용해야 한다는 목소리도 커지고 있다.

CC인증 패스트트랙은 최소한 절차로 신·융합 제품 안정성을 검증해서 공공분야에 공급할 수 있도록 하고, 이후 일정 기간 이내에 최종 인증을 받도록 하는 제도다.

보안기업 관계자는 “기업 입장에선 인증 타입이 중요한 게 아니라 최대한 신속하게 제품 안전성을 검증받고 공공분야에 공급하는 게 중요하다”면서 “CC인증 절차가 명확하고 오랜 기간 운용돼 기업·평가기관 모두 익숙한 만큼 패스트트랙 절차가 도입되면 기업 선택지가 확대되고 편의성도 제고될 것”이라고 말했다.

최호기자 snoop@etnews.com