시큐리티라운드 대책 팔걷었다

　

　정부가 다가올 시큐리티라운드에 대한 대책마련에 적극 나섰다.

　정부는 ‘뉴라운드’로도 불리고 있는 시큐리티라운드의 국제공통평가기준(CC:Common Criteria)에 대비해 정보통신부·국가정보원 등으로 대응팀을 구성하고 선진 보안평가 기술습득을 위해 외국 보안인증기관과 공동 작업을 추진키로 하는 등 구체적인 대응책 마련에 나섰다.

　이를 위해 정부는 연내 전문인력과 예산을 확보하여 외국의 보안평가기관과 공동으로 평가작업을 벌이면서 관련기술을 습득한 다음 2003년 평가인증서수용국(CCP)에 가입한다는 방침이다. 정부는 또 오는 2004년까지 국가간 일정 등급(CC EAL4)까지 평가결과를 상호 인증하는 인증서발행국(CAP)으로서 ‘CCRA’ 협정에 서명하는 등 본격적인 시큐리티라운드 분위기 조성에 들어갈 계획이다.

　이와 관련, 정부는 현재 국정원·정통부·한국정보보호센터(KISA) 등 보안평가 인증관련 3개 기관을 중심으로 공동 대응팀을 구성하고 CC에 대응하기 위한 구체적인 초안을 작성한 상태다. 이 초안은 현재 국정원과 정통부 내부에서 검토 중이며 상반기 내에 관련 인력과 예산이 확정될 전망이다.

　시큐리티라운드는 지난해 미국과 호주 등 IT강국들이 CCRA에 서명하면서 세계적으로 본격 논의되기 시작했다. 이에 따라 우리나라에서도 국내 보안시장 보호와 해외진출 등을 위해 다각적인 대응책이 필요하다는 공감대가 형성되면서 이번 공동대응팀구성에 까지 이른 것이다.

　CC는 지난해 5월 미국·독일·호주·캐나다·영국·프랑스 등 14개국 정부의 정보보안기관이 CC EAL4 등급까지 평가결과를 국가간 상호인정하는 협정인 ‘CCRA’에 서명하면서 큰 영향력을 발휘하기 시작했다. 본지 4월 16일자 14면 참조　 　

　한편 정부가 외국 평가기관으로부터 평가기술을 전수받으려는 것은 CCRA가 요구하는 기술수준에 대한 기준이 없기 때문이다. 즉 CCRA에 가입하려면 어느정도의 평가기술력을 갖춰야 하는지를 CAP 가입 국가의 평가기관을 통해 알아낸다는 것이다.

　2003년까지 CAP 가입을 추진하는 일본도 수백만달러를 지불하고 2년전부터 영국 평가기관인 CESG로부터 기술전수를 받아온 것으로 알려지고 있다.

　KISA의 이경구 평가팀장은 “미국·영국 등 전세계 11개 평가기관에 공동평가 작업을 의뢰했으며 이중 3, 4개 기관으로부터 긍정적인 답변이 왔다”며 “대응팀 의견에 따라 정부에서 전담 인력과 예산을 확정하면 1, 2개 기관을 확정해 실질적인 작업에 들어갈 것”이라고 밝혔다.

　<서동규기자 dkseo@etnews.co.kr>