[사설]CC인증 적체 근본 해결책 필요하다

2000년대 중반 여권발급 대란이 있었다. 아무런 정보 없이 여권발급 업무를 하는 구청에 갔다가 발걸음을 돌리는 사람이 많았다. 꼭두새벽부터 줄서서 기다려야 여권신청을 할 수 있는 번호표를 받을 수 있다는 사실을 몰랐기 때문이다. 이런 사실을 알고도 허무하게 발길을 돌려야 하는 경우도 허다했다. 사람이 너무 몰려 100m 이상 줄을 섰다가 하루 업무처리량이 초과되면 번호표 교부가 중단된다. 10만~20만원에 이르는 급행료가 등장하기도 했다. 여권대란은 발급 기관을 종전 서울 10곳의 구청에서 18곳으로 늘리고 나서 해결됐다.

성격은 다르지만 소프트웨어(SW) 업계에는 국제공통평가기준(CC:Common Criteria) 인증이 신청 폭주로 적체현상이 심각하다. 평가계약을 체결하고 기다리는 기간만 평균 1년을 넘고 평가에 최소 3개월이 소요된다. 2008년 평가 적체를 해소하기 위해 CC인증 평가기관을 기존 인터넷진흥원(KISA) 한곳에서 5곳으로 늘렸지만 적체현상은 나아지지 않았다. 새해 들어 CC인증 의무 대상에 모바일단말관리(MDM), 소스코드 보안 취약성 분석도구(시큐어코딩), 전자여권 등이 추가돼 총 28개로 늘었다. 또 기존에 없던 CC 인증 유효기간이 도입돼 2월부터 3년마다 인증을 갱신해야 한다. 인증효력을 유지하기 위한 재평가 수요를 감안하면 인증 평가 적체현상이 더욱 악화될 게 불 보듯 뻔하다. 제때 인증평가 신청을 하지 못한 기업은 사실상 올해 공공사업 참여 기회가 사라졌다.

CC인증은 공공시장에 정보보호제품을 공급하려면 반드시 받아야 한다. 정부가 CC인증 기간 유효제를 도입하고 대상 품목을 확대한 것은 정보보호제품의 안전을 보장하기 위해서다. SW기업 편의를 위해 CC인증을 완화하는 것은 보안위협이 거세짐에 따라 보안을 강화하는 글로벌 추세를 거스르는 셈이다.

최선은 보안성을 지키면서 인증평가를 원활하게 하는 방법이다. 평가기관을 더 늘리거나 현 5개 평가기관의 평가인력을 늘려야 한다. 하지만 당장 전문성을 갖춘 인력과 기관을 확보하기 어렵다. 민관차원의 지속적인 전문 평가인력 양성과 함께 기업도 글로벌 인증제도 정보 공유로 제도변화에 미리 준비해야 한다.