내년 1월 31일부터 CC인증을 받은 보안 시스템과 솔루션을 3년마다 갱신해야 한다. 지금까지는 유효기간이 없었다. 국가정보원은 또 그 동안 내부에 두고 있던 IT보안인증사무국의 인증업무를 국가보안기술연구소로 완전 이관했다.
국가정보원은 최근 공청회를 열어 이 같은 내용을 골자로 한 CC인증 제도 및 조직개편 개선 방안을 마련했다. 국정원이 마련한 개선안 중 눈에 띄는 대목은 CC인증 유효기간을 신설한 것이다. 정보보호제품에 대한 CC평가인증 제도는 2002년 도입 시행돼 왔으며, 시행 12년 만에 갱신제도가 신설되는 것이다. 유효기간제도가 도입되기 전에 인증을 받은 제품 역시 내년 2월 1일까지 인증서를 갱신해야 한다. 2011년 1월 31일 이전에 인증받은 제품이 재검증 대상이다.
정부의 이번 방침은 3·20 전산망 마비, 6·25사이버 테러 등 해킹 공격이 고도화 지능화 되는 점을 감안해 3년마다 기술적 취약점을 점검하겠다는 포석이다.
문제는 지난해까지 3개월 수준이던 CC인증 평가에 소요되는 기간이 최장 6개월 정도로 길어진 가운데 올해 말 신규 신청과 갱신 인증 청구건이 한꺼번에 몰릴 경우, 대혼란이 불가피하다는 것이다. 지난 2003년부터 올 9월말 현재 국제용 및 국내용 CC인증 건수는 각각 65건, 366건에 달한다.
보안업계는 사이버공격과 스미싱이 정점에 달할 것으로 예상되는 연말과 새해 초 갱신용 인증심사 청구가 한꺼번에 몰릴 것을 우려해 `사후 CC인증제` 도입이 절실하다는 입장이다.
조규곤 지식정보보안산업협회 회장은 31일 “기술발전이 빠른 보안 솔루션 분야에서 인증으로 인해 보안업계가 사업기회를 놓치지 않아야 한다”며 “제도 개선에 따른 정책적 배려가 필요하다”고 강조했다.
새롭게 개발된 솔루션에 한해 선별적으로 현행 사전인증에서 소위 패스트트랙으로 불리는 `사후인증 제도` 도입이 필요하다는 지적이다. 물론 조건부 선인증을 받은 기업이 최종적으로 인증 획득에 실패할 경우 해당 기업에 불이익을 주는 보완책도 제시했다.
업계 일각에서는 올 들어 인증심사 획득 건수가 전년대비 절반 가까이 줄면서 적기에 공급을 못하는 경우가 발생하는 것으로 알려졌다. 보안업계가 연간 받는 CC인증 건수는 통상 70건 내외였으나, 올해는 40건 수준으로 줄어든 것으로 분석한다. 주요 인증보유 기업으로는 백신 분야 안랩, 방화벽 부문 시큐아이, DB접근통제 소만사 등이 있다.
보안업계 관계자는 “신규 솔루션의 경우 인증을 못 받아 공공기관 입찰에 성공하고도 제품을 적기에 납품하지 못하는 사례도 발생했다”고 밝혔다.
국가보안기술연구소 측은 이와 관련 “2014년 1월 31일 이전까지 신청하면, 현재 발급돼 있는 인증서를 2년 간 쓸 수 있도록 권한을 주겠다”며 “하지만 사후인증제를 허용한다는 의미는 아니다”고 설명했다.
CC인증 조직 체계도 변화된다. 앞으로 국정원은 보안관련 정책만을 수립하는 정책기관으로 남는다. CC인증 발급 등 인증실무는 국가보안기술연구소가 전담한다. 한국인터넷진흥원(KISA), TTA, KTL 등 평가기관 5곳은 당분간 그대로 유지된다.
김원석기자 stone201@etnews.com
