[사설]CC인증도 네거티브시스템 적용해야

12년 된 정보보안(CC) 인증제도가 내년에 바뀐다. 인증 유효기간을 3년마다 갱신하는 제도를 신설하며, 국가정보원 산하 관련 실무 업무를 국가보안기술연구소로 이관한다. 국정원이 최근 내놓은 방안이다.

CC인증은 정보기술(IT) 솔루션의 보안성을 평가하는 국제 규약이다. 나라마다 조금씩 차이는 있지만 이 기준을 따라 까다롭게 심사해 보안 기능을 제대로 구현하는지 평가한다. 이 인증을 받았다면 일단 신뢰할 수 있는 솔루션이다.

이 인증을 갱신하도록 한 것은 워낙 해킹 기술이 고도화했기 때문이다. 보안 업체로선 더 불편해졌지만 기술 취약점을 늘 점검한다는 차원에서 수긍할 수 있는 제도다. 국정원 업무 이관도 더욱 전문성을 높이고 인증 발급 절차를 단축할 수 있다면 긍정적이다. 다만, 당장 폭주할 인증 수요가 걱정이다.

업계에 따르면 올해 인증 획득까지 걸리는 기간이 지난해보다 두 배나 길어졌다. 6개월이나 걸린다고 한다. 업계가 모바일까지 포함해 다양한 보안 신기술을 개발하면서 수요가 늘어났기 때문이다. 이 상황에서 갱신 수요까지 몰리면 인증 획득 기간이 더 길어질 판이다. 제때 공급이 생명인 보안기업으로선 늦어진 인증으로 사업기회를 잃을 수 있다.

그렇다고 당장 인증평가기관을 늘릴 수도 없다. 한시적이라도 사후인증제를 도입하자는 업계 주장은 따라서 일리가 있다. 사후라고 하지만 나중에 인증을 받지 못하면 큰 패널티를 물리면 된다. 약속을 지키지 못한 기업이라면 사업기회를 잃어도 할 말이 없다. 조건부 사후인증제는 사실상 사전인증제와 다를 바 없다.

올해 전산망 마비, 사이버테러 사태를 잇달아 경험하면서 정보보안의 중요성은 부각됐다. 이 정보보안 최일선에 바로 보안업체가 섰다. 이들의 사업이 잘 돼야 신기술에 대한 연구개발과 인력 투자를 더 할 수 있고, 우리 보안기술력은 덩달아 높아진다. 이들에게 사업 기회를 더 많이 주지 못할망정 늦어진 인증 절차로 인해 낙찰까지 받은 프로젝트에 공급하지 못하는 일이 생겨선 정말 곤란하다. 정책 당국이 업계 요청을 적극 수용해야 할 것이다.