「시큐리티라운드」 대응 급하다

정보보안 분야의 ‘뉴라운드(시큐리티라운드)’가 될 국제공통평가기준(CC:Common Criteria)에 대해 정부차원의 대응이 미온적이라는 지적이 높다.

15일 관련업계에 따르면 일본이 CC기반 상호인정협정인 CCRA(Common Criteria Recognition Arrangement) 가입을 위해 이달초 ‘시큐리티평가인증체제’를 도입하고 본격적인 운영에 들어가는 등 세계 각국이 CCRA에 큰 관심을 보이고 있지만 우리 정부는 그 가입시기를 2004년으로 잡는 등 미온적이어서 시급한 대응책 마련이 요구되고 있다.

업계의 한 관계자는 “우리나라는 지난 96년부터 CC에 관심을 보이며 CCRA가입을 꾀해 왔으나 ‘오는 2004년 가입 목표’라는 중장기 계획만 발표했을 뿐 세부적인 실행계획이 없다”며 “그동안 ‘아시아를 선도하는 인터넷 국가’ ‘아시아 최고의 정보보안 국가’라던 정부의 외침이 자칫 동굴속의 메아리가 될 가능성이 크다”고 지적했다.

CC는 그동안 나라별로 시행돼 온 평가기준을 통일된 하나의 규격에 적용함으로써 시간과 비용을 절감할 수 있다는 특징이 있다. 또 CC기반 제품에 대해서는 가입국들끼리 상호인정하기 때문에 수출대상국가에서 별도의 재평가를 받지 않아도 되는 장점이 있다. 이에 따라 미국·독일·호주·캐나다·영국·프랑스 등 IT선진 14개국이 CCRA에 서명함으로써 시큐리티 라운드가 탄생할 가능성이 커졌다.

만약 우리나라가 CCRA 가입을 늦출 경우 단기적으로 국내 정보보안 산업을 보호하는 역할을 할 수는 있겠지만 장기적으로는 오히려 해외수출을 가로막게 될 가능성이 높다는 지적이다. 이에 따라 국가정보원·정보통신부·한국정보보호센터(KISA) 등 관계기관이 CCRA에 인증서 발행국(CAP:Certificate Authorizing Participants)으로 참여한다는 계획을 세워놓고 있지만 그 시기가 오는 2004년이어서 업계의 우려를 자아내고 있다는 것이다.

반면 CCRA 서명을 추진중인 외국의 경우 이스라엘이 이미 지난해부터 사전진입단계로 CCP(Certificate Consuming Participants), 즉 평가인증서 수용국으로 참여한 데 이어 일본도 2003년 참여를 목표로 본격적인 활동에 들어갔고 스웨덴·러시아·홍콩·우크라이나·중국 등도 적극적인 태도를 보이고 있다.

이와 관련, 업계의 한 관계자는 “CCRA회원 14개국 대부분이 WTO나 OECD 가입국임을 감안하면 정보보호 분야가 조기에 새로운 통상협상의 모습을 띤 시큐리티라운드로 이어질 가능성이 크다”고 지적하고 “장기적으로 국내 정보보안 업체들과 산업을 보호하기 위해서라도 CCRA 가입을 서둘러야 할 것"이라고 촉구했다.

◆CCRA가입현황

구분=역할=참가국

CAP(Certificate Authorizing Participants)=평가인증서 발행국인 동시에 수용국＝ 미국, 캐나다, 영국, 독일, 프랑스, 호주, 뉴질랜드

CCP(Certificate Consuming Participants)=평가인증서 수용국=네덜란드, 이탈리아, 그리스, 핀란드, 노르웨이, 스페인, 이스라엘

<주문정기자 mjjoo@etnews.co.kr>