방화벽과 침입방지시스템(IPS) 등 정보보호 솔루션에 한정됐던 ‘국제공통평가기준(CC)’ 인증이 반도체와 운용체계, 디지털 복합기 등 정보기술(IT) 전분야의 필수 인증으로 확대될 전망이다.
특히 미국 등 정보보호를 강조하는 선진국을 중심으로 CC 인증이 IT 전반으로 확대되고 있어 해외 수출 의존도가 높은 국내 기업들의 대책 마련이 시급하다.
프리츠 타일 국제상호인증협정(CCRA) 관리위원회 의장은 28일 일본 도쿄 ANA호텔에서 개막한 ‘제6회 국제공통평가기준(ICCC) 콘퍼런스 2005’에서 “기존 정보보호 솔루션은 물론이고 급증하는 사이버 위협의 증가로 네트워크에 접속되는 모든 정보기기에 보안 안전성을 평가 인증하는 CC가 IT 제품의 기본적인 인증으로 확대되고 있다”고 밝혔다.
CC는 CCRA에 가입한 국가가 똑같은 방법으로 정보보호 제품을 평가 인증하는 기준이다. CCRA 가입국들은 CC를 기반으로 제품을 평가해 검증하고 이를 상호 인증하고 있다.
이번 콘퍼런스에서는 CC가 그동안 정보보호 제품에 한정돼온 평가인증 기준을 넘어 소프트웨어와 하드웨어 등 IT 전반에 적용되는 기준으로 확대되고 있는 동향이 주로 소개됐다.
이에 따라 일본 샤프가 디지털복합기에 관해 EAL3 등급의 CC 인증을 획득했으며 레드햇이 EAL4 등급 인증을 획득한 내용이 발표됐다. 또 일본 재경부가 CC를 기반으로 제품을 만들고 이를 공급하는 기업에 세제 혜택을 주는 내용이 소개돼 눈길을 끌었다.
일본 등 우리나라와 IT 수출 시장에서 경쟁을 벌이고 있는 CCRA 가입국 기업들은 CC 기준에 의해 평가받은 보안성 높은 다양한 제품을 내세워 차별화를 시도하고 있다.
내년 초 우리나라의 CCRA 가입을 위해 이번 콘퍼런스에 참석한 국정원 관계자는 “CCRA 가입은 단순히 정보보호 솔루션 시장 개방을 의미하는 것이 아니라 IT 전분야로 확대되고 있는 CC에 대비하는 것”이라며 “수출 의존도가 높은 우리나라가 CCRA에 가입하게 되면 국내 IT 기업들이 한국에서 인증받은 제품을 전세계 국가에서 똑같이 인정받게 돼 해외 인증을 받아야 하는 시간과 노력을 줄일 수 있다”고 말했다.
한편 CCRA는 인증서 발행국과 인증서 수용국으로 이원화돼 있으며 우리나라는 내년 초 가입을 목표로 심사를 진행중이다. 현재 인증서 발행국은 미국·캐나다·영국·독일·프랑스·호주·뉴질랜드·일본 8개국이며, 네덜란드·이탈리아·그리스·핀란드·노르웨이·스페인·이스라엘·스웨덴·오스트리아·헝가리·터키·체코·싱가포르·인도 14개국이 인증서 수용국이다.
도쿄(일본)=김인순기자@전자신문, insoon@
