[디지털데일리 이유지기자] 내년 국제공통평가기준(CC) 제도 개편을 앞두고 보안업계가 술렁이고 있다.
사실 내년 3월 협력보호프로파일(cPP) 중심으로 개정되는 국제공통기준상호인정협정(CCRA) 개정 대비가 더 큰 문제이지만, 보안업계의 관심은 온통 내년부터 시행될 CC인증 유효기간제에 쏠려있는 모양새다.
내년 2월부터 CC인증서에 3년의 유효기간이 적용돼, 업체들은 그 이전에 CC인증 갱신이 불가피해졌다. 보안업계는 주기적인 CC인증 제품 재심사에 들어가는 시간·비용·인력 부담 가중, 평가적체 심화 등의 이유를 들어 ‘사후인증제’ 도입을 요구하고 나섰다.
하지만 IT보안인증사무국인 국가보안기술연구소는 이같은 업계의 요구를 수용할 수 없다는 입장을 밝힌 상태다. 대신에 CC평가기관 확대, 평가진행 상황 공개, 평가 절차 및 제출물 간소화 등 다양한 방안을 고려하고 있다.
평가적체로 인해 인증이 늦어지거나, 신기술 등장보다 인증정책이 마련되는 속도가 늦어질 경우 업체들은 진행되는 사업에 직접 영향을 받게 된다. CC 평가적체가 지속되고 매년 인증 대상제품이 늘어나는 상황에서 갱신 정책이 시행될 경우엔 적체가 더 심해질 것이란 업계의 우려가 무리는 아니다.
그러나 사후인증은 보안성 검증제도 시행 취지로 볼 때 원칙적으로 허용돼서는 안된다.
인증받지 않은 보안 제품을 먼저 구축한 뒤에 사후에 인증받을 수 있게 되면, 보안성이 전혀 검증되지 않은 장비가 상당기간 국가·공공기관에 설치돼 운용되게 된다. 만일 평가 과정에서 개선사항이 많이 발생하거나 평가적체가 심화된다면 자칫 1~2년 후에 인증을 받게될 수도 있다는 것도 충분히 예상할 수 있다.
더욱이 국내 업체들이 대부분 받고 있는 ‘국내용 CC’는 보안적합성 검증도 면제되고 있지 않은가.
사실 CC와 충돌되는 이상한 이름으로 불리는 ‘국내용 CC’가 돌연 생겨난 것도 업계의 평가 부담을 덜고 편의성을 높여주는 차원이었다. ‘국내용 CC’ 제도 시행에 업계는 환영했을지 몰라도 전문가들 사이에서는 이같은 평가제도 이원화 결정이 잘못됐다는 평가가 많이 나왔다.
이로 인해 우리나라 CC평가제도는 CCRA 가입 이전으로 돌아갔다는 비판이 제기됐다. 당시 국정원은 ‘국내용 CC’제도를 한시적으로 시행하겠다고 했지만 2년도 넘게 유지하고 있다.
2011년 국정원은 ‘국내용 CC’를 만든 후 보안성 검증제도를 한차례 더 손질하면서 ‘국내용 CC’나 ‘암호검증’을 받은 제품은 보안적합성 검증을 받지 않아도 국가기관에 인증 제품을 납품할 수 있게 했다. 폐지했던 ‘검증필 목록’도 이 때 다시 부활시켜 적합성 검증 방식을 제품별 검증 형태로 다시 돌이켰다.
국내 보안업체들은 ‘국내용 CC’가 생겨난 이후 대부분 CCRA 가입국에서 서로 인정되는 ‘진짜’ CC가 아닌 ‘국내용 CC’만을 받고 있다.
그런데 ‘사후인증’도 허용해달라고 요구하는 상황에 이르렀다.
국정원이 국가기관에 도입되는 IT·보안 제품의 안전성과 보안성 검증을 시행해온 취지, 2006년 국제수준에 부합한 검증체계를 도입한 CCRA 가입 이유를 다시 환기시켜야 할 시점이다.
평가와 인증심사에 소요되는 기간이 오래 걸린다면 IT보안인증사무국의 담당 인원이 충분한지, 적합한 능력과 경험을 보유한 인력들이 배치돼 있는지부터 돌이켜 봐야 할 것이다.
지금 보안성 검증제도는 보안업계뿐만 아니라 네트워크업계에서도 이슈다. 앞으로 네트워크 장비에도 보안제품과 똑같은 국가·공공기관 도입절차가 적용되기 때문이다. 내년 10월부터 국가·공공기관에서 도입하는 스위치, 라우터, IP교환기에 보안적합성 검증이 시행되고, 2016년부터는 네트워크 장비의 CC인증도 의무화된다. 내년 첫 시행을 앞두고 사실 네트워크 업체들이 더 당황스럽고 혼란스러운 상황이다.
보안적합성 검증, CC제도는 이제 보안업계에만 해당되는 ‘정보보호제품 평가·안전성 검증’ 제도가 아니다.
외산 장비가 큰 비중을 차지하는 국내 네트워크 시장 상황에서 업체들 사이에 벌써부터 다양한 이슈가 제기되고 있다. 외산업체들 사이에서는 ‘국내용 CC’ 제도를 놓고 형평성 문제 등을 제기한다. 사실 인증당국도 별로 할 말이 없을 것 같다.
국제용 CC를 받았는데 국정원 검증을 통과하지 못해 모든 외산 장비가 공공기관에 도입되지 못할 상황이 온다면 그 역시도 문제가 된다. 공공기관에서 필요로 하지만 국산 장비는 존재하지 않은 네트워크 장비도 있기 때문이다.
우리나라가 ‘정보보호제품 평가제도’를 CC로 일원화해 시행한 지도 내년이면 10년째다. 검증제도가 안정화를 넘어 충분히 성숙되고도 남을만한 기간을 보냈다. 과도기 상황에서 편법처럼 도입한 것이 있다면 과감히 쳐내고 제대로 제도를 정착, 발전시킬 필요가 있다.
국가 보안수준과 국내 산업의 경쟁력 향상에 기여하는 방향에서 제도의 취지를 잘 살리는 것이 중요하다.
CCRA 가입, 인증서 발행국 지위에 부합하는 활동도 간과해서는 안된다. 특별한 이슈가 생길 때 부랴부랴 사람들을 모으고 대응에 나서다 다시 흐지부지되는 사례도 이젠 그만 봤으면 좋겠다.