병목현상 더 심해진 CC인증
#사례:서버 가상화 소프트웨어(SW) 업체 A는 지난해 2월 공통평가기준(CC)인증을 위한 사전 검증을 거치고 한국시스템보증과 평가 계약을 체결했다. 이후 1년여가 지난 지금까지도 인증 작업은 진척이 없다. 당장 올해 진행하는 공공기관의 가상데스크톱(VDI) 사업에 참여하지 못할 상황에 몰렸다. 한국시스템보증은 곧 인증 평가 착수가 이뤄질 것이라는 답만 반복할 뿐이다. A사는 여전히 CC인증 검증 착수만을 손놓고 기다리고 있다.
CC인증 지체 현상이 극에 달했다. 특히 지난해부터 신청 폭주로 지체가 심각한 것으로 드러났다. 평가 대기 시간만 1년이 넘게 걸리고 있다. 정부가 CC인증제를 시행한 이후부터 지체 현상은 `단골문제`로 지적되고 있다. 1년 전인 지난해 초에도 정보보호 제품의 CC인증 과정에 `병목현상`이 발생했다. 당시 이 같은 상황이 지속될 경우 더 큰 혼란을 야기할 수 있다는 경고가 지금 현실이 됐다. 특히 최근 인증 유효기간이 3년으로 지정되면서 인증효력을 유지하기 위한 심사까지 겹쳐 더 심화됐다. 하지만 이 같은 고질적인 문제에도 정부는 현실적인 개선책을 내놓지 않아 업계의 불만이 높다.
◇지체 심화로 업체들 몸살
올해 CC인증 지체 현상이 심각해진 것은 인증제가 변경됐기 때문이다. 올 2월부터 인증 유효기간이 3년으로 지정된다. 기존 제품의 인증효력을 유지하기 위한 재심사가 한꺼번에 몰리면서 기존 적체현상을 더 악화시켰다는 분석이다. 업체들은 다음 달 1일까지 기존에 인증받은 제품의 인증서를 갱신해야 한다.
게다가 올해 CC인증 대상 품목이 대폭 늘었다. CC인증 의무 대상에 모바일 단말관리(MDM), 소스코드 보안 취약성 분석도구(시큐어코딩), 전자여권 등이 추가됐다. 심지어 복합기까지 포함돼 총 28개 제품으로 늘었다.
CC인증 의무 대상은 늘었지만 이들 심사가 제때 이뤄지진 못했다. 평가기관의 준비 부족으로 시행일이 늦춰졌다. 특히 시큐어코딩의 경우 정부가 올해부터 모든 공공기관에 시큐어코딩 제품을 공공 정보화사업(20억원 이상)에 의무 적용하도록 했다. 관련 업체들이 지난해 상반기부터 인증을 받기 위한 준비에 나섰지만 인증 평가 기관이 선정되지 않아 반년 이상을 허비했다. 현재 시큐어코딩은 한국인터넷진흥원(KISA)에서만 평가를 맡고 있다.
이 같은 정부의 늑장 대응으로 현재 파수닷컴 한 곳만 최근 시큐어코딩 제품에 대한 CC인증을 획득했다. 관련 10여개 업체가 줄이어 대기 중이다.
이처럼 인증 대상은 늘고 있는 반면에 평가기관은 확대되지 않고 있어 `업무 과부하`가 가장 큰 문제로 지적되고 있다.
업계 한 관계자는 “30여개에 달하는 평가 제품에서 기관별로 선호하는 제품들이 있어 일부 제품은 우선순위에서 밀리는 경우도 있다”며 “특히 이미 수차례 인증 지체 현상이 예견됐음에도 정부가 현실적인 대응책을 마련하지 않고 있는 속내를 잘 모르겠다”고 털어놨다.
◇공공사업 참여 차질로 이어져
보안 및 SW 업계에 따르면 통상 CC인증을 받기까지 최소 6개월 안팎의 기간이 예상됐지만 지난해부터 조금씩 늘어나 1년을 넘기고 있다는 분석이다. 지체는 날이 갈수록 더욱 심화되고 있다는 주장이다.
CC인증은 보안 및 SW 제품의 안전성과 신뢰성을 국가 차원에서 보증해 사용자들이 안심하고 사용할 수 있도록 한다는 취지에서 마련된 것이다. 때문에 정부 및 공공기관에 납품하기 위해선 관련 업체들이 CC인증을 필수적으로 받아야 한다.
하지만 CC인증 대기기간이 길어지면서 업체들이 공공사업 참여도 차질을 빚고 있다.
웹애플리케이션 방화벽 업체 B사는 지난 2009년 관련 시장에서 선두를 달려왔으나 CC인증 지연으로 공공영업에 타격을 입어 성장이 지체된 바 있다. 올해 다른 제품에 대한 인증에도 같은 상황이 반복됐다.
익명을 요구한 SW업체 대표는 “인증 평가 기간이 길어도 너무 심하다”며 “적절한 시장 진입 시점을 놓쳐 심각한 영업 손실을 보고 있는데도 평가기관들은 이에 대해 상황의 심각성을 전혀 인지하지 못하고 있으며, 오히려 업체들이 너무 징징댄다며 나무란다”고 털어놨다.
◇인증 간소화·심사비 현실화 등 시급
정부는 지난 2008년 평가 적체 현상을 해소하기 위해 민간 CC인증 평가 기관을 추가로 확대했다. 현재 CC인증은 국정원 산하 국가보안기술연구소(이하 국보연)가 인증기관 역할을 대행하며, KISA·TTA·한국시스템보증 등 5개 평가기관이 인증업무를 대행하고 있다. 하지만 업계는 현 5개 기관으로는 턱없이 부족해 보인다는 입장이다.
한 평가기관 관계자는 “한두 명의 결원이 생겨도 업무가 진행이 안 될 정도”라며 “열심히 한다고는 하고 있지만 눈에 띌 만큼의 진척은 없는 실정”이라고 털어놨다.
또 정부가 CC인증을 대체할 수 있도록 보안 적합성 심사를 실시하고 있지만 이 또한 절차가 번거롭고, 시간도 많이 소요되고 있어 대안이 되기엔 역부족이라는 평가다.
가장 손쉬운 해결 방안은 현 평가기관이 관련 인력을 대폭 늘리거나 인증기관인 국보연에서 평기기관을 더 늘려 업무를 분산시키는 방법이다. 평가 절차를 대폭 개선해 간소화하는 것도 대안이다.
업계 전문가들은 인증효력 유지를 위한 심사는 제품 영역별 혹은 인증받은 연도별로 순차적으로 심사 날짜를 지정해주는 것도 방법이라고 조언했다.
임종인 고려대학교 교수 “인증 절차를 좀 더 간소화하되 형식적인 면은 대폭 줄이고 핵심적인 부분에 집중 심사가 이뤄질 수 있도록 질적 평가에 초점을 둬야 한다”며 “또한 평가 심사 비용도 현실화해 적정수준 이상의 제품들만 인증 신청을 할 수 있도록 해야 할 것”이라고 말했다.
성현희기자 sunghh@etnews.com
