지난해 국제공통기준(CC)평가 인증을 받은 사이버보안 제품이 78건에 머물렀다. 최근 3년 사이 최저다. 국내 보안기업 신제품 출시가 줄어들면서 평가 수요도 저조했다.
IT보안인증사무국에 따르면 CC인증을 받은 제품은 2014년 88건, 2015년 107건, 2016년 78건이었다. 매년 증가세를 보이던 CC인증 제품은 지난해 하락세로 돌아섰다. 2014년 CC인증이 3년 유효제로 바꿔 인증유지평가를 다시 받은 것을 감안해도 신규 평가가 눈에 띄게 줄었다. 2014년 사이버 보안 업계는 CC평가 인증 적체 해소책을 요구했는데 이제 원하는 시점에 언제나 평가를 받는 상황이다.
평가 수요 하락 최대 원인은 국산 신제품 출시 감소가 꼽힌다. IT보안인증사무국에서 인증 받은 제품은 대부분 국산이다. 신규 인증 받은 제품만 따져도 2015년 80개였는데 지난해 68개로 15% 줄었다. 국내 보안회사는 신제품 출시와 함께 CC평가 인증 작업을 병행한다. CC인증 현황이 국내 제품 신제품 출시 현황을 보는 잣대다.
민간평가기관은 24종에 한정된 CC인증 대상 제품이 급변하는 사이버 위협 현실을 반영하지 못한다고 지적했다. 사이버 위협은 줄지 않았고 기업 피해는 늘었다. 글로벌 보안 업계는 머신러닝, 인공지능(AI), 위협인텔리전스, 시큐리티 어낼리틱스 등 신기술로 무장한 제품을 내놨다. 이들은 CC인증 없이도 제품을 판다.
A평가기관 대표는 “보안제품 평가는 신제품 수요에 맞춰 선순환 구조로 함께 성장한다”며 “보안시장 성장세가 둔화하고 신제품 출시도 줄어들면서 평가까지 여파를 미쳤다”고 말했다.
CC평가 수요 감소는 민간평가기관 생존경쟁을 촉발했다. 수요는 감소했는데 2014년 평가기관이 6곳에서 8곳으로 늘었다. 평가수요 하락에 한국산업기술시험원(KTL)은 지난해 자격이 정지됐다. 이달 말 KTL이 1년 만에 평가기관 자격을 회복하고 CC평가 시장에 뛰어들면 경쟁은 더욱 치열해진다.
B평가기관 대표는 “신규 평가 수요 감소가 현실이 되면서 사업 다각화를 모색한다”며 “보안적합성 시험서, 성능시험 등을 확대하지만 모두 초기 단계로 평가기관 생존게임이 한창이다”고 토로했다.
C보안기업 대표는 “신기술로 제품을 개발해도 인증대상 품목에 들지 않으면 평가받기 어려운 구조”라며 “현재 위협과 대응에 맞춰 15년 전 만든 CC인증제도 개선도 필요하다”고 지적했다.
<CC인증제품 현황(단위: 개) (자료:IT보안인증사무국)>
김인순 보안 전문기자 insoon@etnews.com