새해 2월부터 도입되는 CC평가인증 유효기간 제도 도입을 앞두고 CC인증 평가기관 재편 논의가 수면위로 부상하고 있다. 평가 담당인력 부족 문제를 해결하는 것은 물론이고 각 평가기관에 특화된 아이템을 전문적으로 담당하게 하자는 것이다.
22일 업계에 따르면 한국인터넷진흥원은 새해부터 전자여권과 시큐어코딩 두 가지 보안제품에 한해 CC인증 업무를 전개하기로 했다. 한국인터넷진흥원은 앞으로도 CC인증 업무는 지속하되 고사양 보안 솔루션에 대한 품질 성능 평가 위주로 인증 영역을 조정할 계획이다. 선택과 집중 차원에서다.
한국인터넷진흥원 관계자는 “나머지 4개 민간 평가기관에 비해 인증 수수료가 저렴하기 때문에 인터넷진흥원으로 몰리는 경향이 있다”며 “몇 년 전부터 방화벽 등 정보보호 제품은 민간 평가기관으로 유도하고 있다”고 설명했다.
한국인터넷진흥원은 앞으로는 기술이 복잡한 제품에 대한 평가 위주로 진행할 예정이다. 인터넷진흥원은 지난 2007년 CC인증 시장이 민간에 문호를 개방한 이후 중소기업에 한해선 수수료를 50% 할인해주고 있다. 이 때문에 보안기업들은 인터넷진흥원을 상대적으로 선호하는 경향이 있다.
보안업체 관계자는 “11월 이후 인터넷진흥원이 CC인증 신청 접수를 받지 않으면서 CC인증기관 재편설이 모락모락 나오고 있다”고 설명했다. 현재 CC인증은 국정원 산하 국가보안기술연구소가 인증기관 역할을 대행하며, 한국인터넷진흥원·TTA·한국시스템보증 등 5개 기관이 인증업무를 해주고 있다. 박준우 TTA 팀장은 “현재까지 TTA에서는 인증평가 적체가 발생하지 않고 있다”고 설명했다.
이런 가운데 CC인증기관인 국정원 산하 국가보안기술연구소는 앞으로 늘어날 CC인증 수요에 대비해 평가기관 추가 지정을 검토할 방침이다.
국보연 측은 인증평가 수행기관을 늘리는 방안에 대해 전향적인 입장이다. 국보연 관계자는 “현재까지 공식적으로 평가기관 지정 신청이 들어온 게 없다”며 “하지만 요청이 있으면 국정원 등과 협의해 검토하겠다”고 강조했다.
현재 보안 업계는 새해 초 개정되는 CC인증 제도를 앞두고 사후인증제 도입 등 CC인증 규제 완화를 요구하고 있다. 국보연 IT보안인증사무국은 내년 CC인증 의무 대상에 모바일 단말관리(MDM)와 소스코드 보안 취약성 분석도구(소위 시큐어코딩) 2종류를 추가했다. 소스코드 보안 취약성 도구는 내년 1월부터, MDM은 6월 이후부터 CC인증을 받아야한다.
한편 보안업체들은 내년 2월 1일까지 유효기간 설정 이전에 인증을 받은 제품은 인증서를 갱신해야 한다.
김원석기자 stone201@etnews.com
