사이버 보안 제품 국제공통평가기준(CC) 평가기관 생존게임이 시작됐다.
1호 민간평가기관이었던 한국산업기술시험원(KTL)이 인력이 부족해 평가기관 자격이 정지됐다. 다른 평가기관도 CC평가 외에 다른 사업에 눈을 돌린다. 국내 정보보호 기업 신제품 출시가 줄어들고 평가 대상 품목도 24개에 머물면서 평가 수요가 늘지 않는다. 2014년 CC평가 적체 해소를 위해 민간평가기관 2곳을 추가 지정한 후 고객 모시기 경쟁도 치열해졌다.
CC평가기관으로 자격을 유지하려면 선임평가자 3명, 주임평가자 2명 등 기준을 준수해야 한다. KTL은 선임평가자를 구하지 못해 자격이 정지된 것으로 알려졌다. 평가할 제품이 줄어들면서 인력 유지에 어려움을 겪은 것으로 보인다. KTL은 내년 1월 18일까지 자격이 정지된다. KTL이 다시 평가기관이 되려면 자격 조건에 맞춰 인력을 충원해야 한다. 제품 평가 수요가 줄어들어 이익이 나지 않는데 KTL이 다시 평가기관 자격을 회복할지 미지수다. 기존에 KTL에서 CC평가를 받은 기업은 다른 평가기관에 인증효력유지나 인증서효력연장을 신청해야 한다.
다른 평가기관은 CC평가 외에 다른 업무로 영역을 넓혔다. CC평가만으로 생존하기에 역부족이다.
한국정보보안기술원은 정보보호준비도 평가 사업에 나섰다. 정보보호준비도는 정보보호산업진흥에 관한 법률에 따라 올해부터 시행된 제도다. 정보보호 제품 평가가 아니라 인터넷을 사용하는 모든 기관과 기업, 단체의 정보보호시스템과 관리적, 기술적, 물리적 보호조치를 평가한다.
한국시스템보증은 보안제품 성능 평가 수요 확대를 기대한다. 정부는 올해부터 정보보호제품 기능 향상과 글로벌 경쟁력 제고를 위해 성능평가를 시행한다. CC평가는 주로 기능 정확성을 비교하는 시험인데 성능평가는 운영 시 처리 능력을 평가한다. 평가기관은 정보보호제품 시스템과 트래픽 처리, 효율성, 유해트래픽 탐지·차단율, 우회 등 다양한 기능 성능을 측정하는 인프라를 갖추고 시장 확대를 노린다.
한국아이티평가원은 지난해 카드단말기보안시험 기관이 됐다. 신용카드 단말기 보안 기능 안전성과 신뢰성을 시험한다. 한국아이티평가원은 4월 정보보호준비도 평가기관에 지정됐으며 성능시험 평가로도 사업을 확대했다.
한 평가기관 대표는 “국내 CC평가 시장 규모는 연간 40억원 규모인데 민간평가기관이 늘어나고 평가 수요가 줄면서 구조조정과 생존 경쟁으로 돌입했다”고 말했다. 그는 “CC평가만으로 기업을 유지할 수 없다”며 “다양한 신사업으로 활로를 모색한다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com
