오피니언 칼럼

「시큐리티라운드」부상 의미와 파장

국제공통평가기준(CC:Common Criteria) 기반의 상호인정협정인 CCRA(Common Criteria Recognition Arrangement) 가입을 둘러싼 선진국들의 움직임이 빨라지고 있다. CCRA에는 지금까지 13개 국가가 가입한 상태고 올해안에 가입국가가 20여개국으로 늘어날 것으로 예상되고 있다. 따라서 앞으로 정보보호제품을 해외 시장에 선보이기 위해서는 CC평가인증서 취득이 기본이 돼야 하고 국내 업체들의 평가인증서 취득을 쉽게 하기 위해서는 이를 발행할 수 있는 CAP(Certificate Authorizing Participants) 국가가 돼야 한다. 이를 위해 국내에서도 세계적인 추세에 부응해 지난 99년 선진국들의 동향 파악에 나서기 시작했고 최근에는 전담반을 구성해 CAP를 최종 목표로 한 준비작업에 나섰다.

◇CC란 =CC는 원래 각국의 서로 다른 평가기준 시행에 따른 시간 및 비용 낭비를 줄이기 위해 미국, 캐나다, 영국, 독일, 프랑스 등 선진국들이 중심이 돼 만든 국제공통평가기준이다. 98년 CC버전 2.0개발 이후 개정작업을 거쳐 99년 6월 CC버전 2.1이 국제 표준(ISO/IEC 15408)으로 채택됐다. 이에 따라 CC버전 2.1은 지난해 5월 출범한 CCRA 체제의 평가기준뿐 아니라 정보보호시스템 평가를 위한 국제 기준으로 자리잡았다.

◇CCRA현황 =CCRA는 국가들의 CCP(Certificate Consuming Participants) 참여를 적극 유도하고 있다. CCRA협정서 제 8조에는 참여국에 대해 CCRA활동에 관한 모든 참가국의 정보를 공유하도록 명시함으로써 향후 CAP로의 전환을 용이하게 한다는 내용도 명시하고 있다. 현재 CCRA에는 미국, 캐나다, 영국, 독일, 프랑스, 호주, 뉴질랜드 등 7개국이 인증서 발행국가인 CAP로 활동하고 있으며 네덜란드, 이탈리아, 그리스, 핀란드, 노르웨이, 스페인 등 6개국이 인증서 수용국가인 CCP로 참여하고 있다. 또한 제1회 ICCC회의에 참가한 스웨덴, 스위스가 조만간 CCP로 참여할 것이 확실시되고 있으며 이스라엘 역시 CAP 가입 준비단계로 CCP 가입을 타진하고 있다. 아시아지역에서는 일본이 CAP 가입을 최종목표로 통산성 산하 정보처리진흥사업협회의 보안센터를 중심으로 태스크포스를 운영, CCRA 가입을 위해 박차를 가하고 있다.

특히 CC 수용 확대와 CCP 참여를 위한 자격은 자국내에서 추가적인 비용을 수반하는 평가제도 없이도 가능하기 때문에 앞으로 CCRA 가입국가는 더욱 늘어날 전망이다.

◇CCRA 왜 가입해야 하나 =정부차원에서 CCRA에 가입해야 하는 이유는 간단하다. CCRA체제가 정보보호시스템 평가를 위한 국제기준인 CC버전 2.1을 채택하고 있기 때문이다. 아직 정보보호 제품이 WTO, OECD, APEC 등 국제기구에서 본격적으로 논의되고 있는 상태는 아니지만 최근 전자상거래 분야가 이들 기구에서 집중 논의되고 있는 것을 감안하면 정보보호와 관련된 논의도 조만간 이뤄질 것이라는 게 전문가들의 공통된 관측이다. WTO에서는 지난 98년 WTO일반이사회에서 미국이 전자상거래 무관세화를 국제규범으로 제안하면서 시작됐고 OECD와 APEC에서도 전자상거래를 거론하면서 네트워크상의 개인정보 보호, 전자상거래의 안전성, 신뢰성 제고 방안에 대해 논의된 바 있다.

특히 지금까지 CCRA에 가입해 있는 13개국 대부분이 WTO나 OECD 가입국임을 감안하면 정보보호 분야가 새로운 통상협상의 모습을 띤 「뉴 라운드(시큐리티라운드)」를 만들어 낼 것으로 전문가들은 보고 있다.

◇풀어야할 숙제=CCRA 가입은 그동안 정부의 보호를 받아 온 국내 정보보호 시장의 전면 개방을 의미하고 있어 업계의 강력한 반발에 부딪히고 있다.

업계의 한 관계자는 『장기적으로 글로벌 시장에서 국내 정보보호 산업의 경쟁력을 강화하기 위한 정부의 뜻은 이해가 가지만 이는 그동안 외산 제품으로부터 국산 제품을 보호하기 위해 전개해 온 정부의 정보보호시스템 평가사업과 정면으로 대치되고 있다』고 지적하고 『CCRA 가입은 정보보호시스템 평가사업을 유명무실하게 만들 가능성이 크다』고 덧붙였다.

시장개방을 통한 정보보호 제품의 국제화와 그동안 국내 정보보호 산업 보호 차원으로 전개돼 온 정부의 정보보호시스템 평가사업 존폐여부를 여하히 유연하게 처리해야 하느냐가 풀어야할 숙제다.

★표:

구분=역할=참가국(서명주체)

CAP=평가인증서 발행국인 동시에 수용국=미국(NIST, NSA), 캐나다(CSE), 영국(CESQ), 독일(BSI), 프랑스(SCSSI), 호주(DSD), 뉴질랜드(GCSB)

CCP=평가인증서 수용국=네덜란드(MIKI), 이탈리아(CMANS), 그리스(MI), 핀란드(MF), 노르웨이(HQDCNSD), 스페인(MAP)

<주문정기자 mjjoo@etnews.co.kr>

주요 행사

오피니언 많이 본 뉴스

  1. 1 내년 '생성형 AI 검색' 시대 열린다…네이버 'AI 브리핑' 포문
  2. 2 5년 전 업비트서 580억 암호화폐 탈취…경찰 “북한 해킹조직 소행”
  3. 3 LG이노텍, 고대호 전무 등 임원 6명 인사…“사업 경쟁력 강화”
  4. 4 AI돌봄로봇 '효돌', 벤처창업혁신조달상품 선정...조달청 벤처나라 입점
  5. 5 롯데렌탈 “지분 매각 제안받았으나, 결정된 바 없다”
  6. 6 애플, 'LLM 시리' 선보인다… “이르면 2026년 출시 예정”
  7. 7 '아이폰 중 가장 얇은' 아이폰17 에어, 구매 시 고려해야 할 3가지 사항은?
  8. 8 美-中, “핵무기 사용 결정, AI 아닌 인간이 내려야”
  9. 9 삼성메디슨, 2년 연속 최대 매출 가시화…AI기업 도약 속도
  10. 10 美 한인갱단, '소녀상 모욕' 소말리 응징 예고...“미국 올 생각 접어”

주요뉴스


브랜드 뉴스룸