미래창조과학부가 정보보호산업 육성을 위해 야심차게 추진하는 융합형 공통평가기준(CC)인증제도가 시행 전부터 실효성 논란에 휩싸였다.
융합형 CC인증제도가 기존 국내용 CC제도 태생을 제대로 이해하지 못한 정책이라는 비판이 일고 있다. 국내용 CC인증은 융합형 제도가 시행돼도 국제용 CC인증 난이도가 매우 높다는 점에서 국제인증 획득 희망기업이 더 늘어날 여지도 크지 않다는 지적이다.
미래부는 지난 3일 수출과 국내 공공기관 납품을 희망하는 정보보호 기업이 국내·국제용 CC인증을 한번에 획득할 수 있는 융합형 제도 신설안을 제시했다. CC인증 평가 소요기간을 단축하면서 기업의 비용부담도 덜겠다는 취지다. 평가과정 가운데 중복 분야를 최소화해 국내·국제용 CC인증서를 동시에 발급하는 게 골자다.
미래부는 융합형 제도로 정보보호 기업 부담을 줄이고 CC인증제도 글로벌 경쟁력 강화를 꾀한다. 지난 2006년 한국이 국제상호인정협정(CCRA)에 가입했지만 국제용 CC인증을 받은 제품은 66개에 그쳤다. 그나마 국제CC를 받은 제품 절반은 삼성전자, 삼성SDS, LC CNS 등이 해외 사업을 위해 획득했다. 지난해 말을 기준으로 국내용 CC인증은 351건에 달한다. 대부분 기업이 국내용 CC만 받는 상황이다.
관련 제도 추진이 알려지자 전문가 반응은 예상외로 싸늘하다. 김승주 고려대 정보보호대학원 교수는 “국내용 CC인증은 국제용 평가를 약식으로 진행해 온 것”이라며 “이를 혼합하는 것은 1종과 2종 운전면허 시험을 동시에 치르게 하는 것과 마찬가지”라고 지적했다. 김 교수는 “현재 국내 CC평가제가 부실해진 것은 무리한 평가기간 단축 때문”이라며 “융합형 제도 도입보다는 보안제품을 제대로 평가하는 데 집중하는 게 바람직하다”고 덧붙였다.
A업체 CC평가 담당자는 “국내용 CC인증은 주로 취약점 위주로 평가하며 보증문서도 잘 안 본다”며 “융합형 제도가 나오면 CC인증 자체 철학이 달라진다”고 말했다. 국내용 CC인증과 국제용 CC인증 프로세스가 판이해 융합형 제도 도입 시 평가 공통분모를 찾기가 쉽지 않고 애초 국내용 CC인증이 도입된 이유가 국제용 CC인증 평가 항목이 지나치게 까다로워 이를 대폭 간소화하자는 업계 요구에서 비롯된 것이라는 설명이다. 그는 “CC인증 제도 취지를 살리는 길은 융합형 제도 신설이 아닌 국내용 CC인증을 없애는 것”이라고 주장했다.
미래부 관계자는 “융합형 제도는 초안으로 업체 부담을 줄이고 국내용과 해외시장 진출을 위한 국제 제도 운용의 조화에서 나왔다”며 “다양한 의견을 반영해 제도를 정비할 것”이라고 설명했다.
김인순기자 insoon@etnews.com
