정보보호 제품 공통평가기준(CC) 인증 적체에 인터넷진흥원(KISA) 역할론이 제기됐다.
27일 관련 업계에 따르면 최대 1년이 넘는 극심한 CC인증 적체를 풀 단기 방법은 KISA의 평가 확대라는 지적이다.
국가보안기술연구소 IT보안인증사무국은 2016년까지 평가인력을 양성해 대기시간을 선진국 수준으로 낮출 계획이다. 하지만 인력이 양성되는 2년을 메울 방법이 없다. 업계는 공공기관인 KISA가 단기적으로 평가업무를 늘리면 해소가 가능하다고 입을 모은다.
한 정보보호 업계 관계자는 “KISA가 2011년부터 CC 평가를 대폭 줄이면서 적체 현상에 일정부분 영향을 끼쳤다”며 “고급평가자 자격을 갖춘 인력이 CC 평가가 아닌 다른 업무로 배치됐다”고 지적했다. 그는 “민간 평가기업은 KISA에서 고급 평가인력을 데려오지 않는 한 평가를 확대하기 힘든 구조”라며 “인력을 보유한 KISA에서 단기 처방전을 내려야 한다”고 덧붙였다.
실제로 KISA는 2011년부터 CC 평가업무를 대폭 줄였다. 한 해 많게는 40건이 넘는 제품을 평가했던 KISA는 2011년 단 2건에 그쳤다. KISA의 CC 평가 현황을 살펴보면 2008년 34건, 2009년 40건, 2010년 22건에서 2011년 2건, 2012년 3건, 2013년 1건에 머물렀다.
전담인력도 줄었다. 과거 20여명이 넘었던 평가인력은 3명으로 줄었다. 고급평가자 자격이 되는 인력도 다른 업무에 배치됐다. KISA 관계자는 “KISA는 전자여권과 시큐어코딩 등 고등급 평가에 집중하며 평가범위를 조정했다”며 “민간 평가기관 활성화를 위한 조치였다”고 설명했다.
KISA 업무 축소는 평가인력 양성까지 영향을 미쳤다. KISA는 CC 평가인력 사관학교였다. 민간 평가기업에 간 대부분 인력이 KISA 출신이라고 해도 과언이 아니다. 평가업무가 축소되니 인력양성 기능도 사라졌다.
한 민간 평가기관 고위 관계자는 “2005년 민간 평가기관이 사업을 시작한 후 해소됐던 CC인증 적체가 3년 전부터 다시 시작됐다”며 “KISA 평가 축소와 함께 올해 인증효력유지제까지 시행하며 극에 달한 양상”이라고 말했다.
공공기관에 들어가는 정보보호 제품은 반드시 CC인증을 받아야 한다. 최근에는 금융과 기업도 CC인증을 요구한다. 1~2년 사이 CC인증을 받는데 최소 6개월에서 길게는 1년까지 기다린다. 평가에 최소 3개월 이상 소요되는 것을 감안하면 CC인증 한 번 받는데 최장 1년 3개월 이상 걸린다.
<한국인터넷진흥원 CC 평가 현황(단위:건)>
김인순기자 insoon@etnews.com