스마트가전·핀테크 등 차세대 산업 육성 국제공통평가기준(CC) 인증 보호프로파일(Protection Profile) 개발이 시급하다.
선진국은 보안 기능이 들어간 IT제품 보호프로파일을 개발, 산업 보호에 앞장선다. 한국은 최근 5년 동안 단 한 건의 보호프로파일을 만들지 못했다.
금융보안원(원장 허창언)은 IT보안인증사무국 보호프로파일 목록을 분석한 결과 2011년 이후 개발이 끊겼다고 17일 밝혔다. 우리나라는 CCRA인증서 발행국으로 등록한 후 보호프로파일 여섯 건을 등록했지만 최근 실적은 전무하다.
보호프로파일이란 보안 기능이 들어간 정보기술(IT) 제품 개발과 평가, 인증에 활용하는 문서다. 고객이 제조사에서 제품을 구매할 때 요구사항으로 제시한다. 제조사는 여기에 바탕을 두고 명세서를 만들어 제품을 개발한다. 보호프로파일로 고객이 요구한 구체적 보안 사항을 참조한다. 보호프로파일은 구체적 보안 요구사항에 관심 있는 제조사, 평가기관 등 관계기관이 개발한다.
한국이 5년 동안 보호프로파일 개발에 손을 놓은 사이 독일, 미국, 프랑스는 이를 적극 추진했다. 자체 산업을 육성하기 위해 보호프로파일 개발에 집중했다. 자국 제조사에 유리하게 보호프로파일을 개발해 등록하면 CC인증도 수월하고 시장 진입도 빠르다. 지난 5년 동안 독일 24건, 미국 16건, 프랑스 12건, 터키 8건의 보호프로파일을 각각 개발해 등록했다.
국내는 주로 전통 보안 제품에 CC 인증을 받지만 선진국은 IC, 스마트카드, 스마트폰, 태블릿PC, 프린터 등 IT 제품군이 늘었다. 최근 5년 동안 가장 많은 CC 인증이 나온 분야는 IC, 스마트카드 관련시스템 제품군이다. 581개가 CC 인증을 받았고, 관련 보호프로파일은 77개다.
핀테크 요소 기술인 모바일 카드결제, NFC결제, 스마트카드용 운용체계, 전자여권 등 ‘IC 스마트카드 및 관련 시스템’ 제품군이 두드러졌다. ‘바이오인식 시스템과 장치’, 스마트폰, 태블릿PC, 프린터 등 떠오르는 산업 제품 보호프로파일을 개발했다. 우리나라는 스마트가전 등 IT 제품 개발이나 CC평가·인증 시 활용 가능한 보호프로파일이 부족해 인증대상 제품이 제한된다.
금보원은 “신규 IT제품 분야에 국제사회가 인정하는 보호프로파일을 개발해야 한다”면서 “소비자 요구사항을 파악하는 전문기관이 보호프로파일을 개발하고 보급하는 제도가 절실하다”고 강조했다.
김승주 고려대 정보보호대학원 교수는 “일본은 미국 등과 연대해 복합기 보호프로파일에 자국 입장을 반영하려 한다”면서 “스마트 가전은 한·일 간 제2 격전지가 될 수 있어 보호프로파일을 개발을 서둘러야 한다”고 지적했다. 김 교수는 “삼성전자가 통신 관련 국제 표준을 주도하며 유리한 부분을 반영하려 한다”면서 “보호프로파일도 국제표준이라는 인식으로 전략을 세워 접근해야 한다”고 덧붙였다.
<최근 5년간 국가별 보호프로파일 개발 현황>
김인순 보안 전문기자 insoon@etnews.com
