[사이버보안 대계 세워라]〈중〉 CC인증 경직성 해소해야

인증·조달체계 개선 최우선
신기술 진입장벽 해소 필요
시행령 개정·인프라 확충하고
기업 인증 등 발상 전환 촉구

윤석열 대통령 당선인은 사이버 보안 생태계 조성을 공약으로 내걸었다. 사이버보안 기술발전 및 산업 지원이라는 목표는 제시했지만 세부 실행 방안은 공개되지 않았다. 사이버보안 기업 의견 수렴을 통해 공약을 구체화한다는 방향성만 확정된 상태다.

사이버보안 기업은 공약 실천을 위해 공통평가기준(CC)을 비롯한 인증·조달 체계를 개선해야 한다고 한목소리다. 기존 인증 제도 경직성을 해소, 융합 보안 제품 등 신기술의 시장 진입 문턱을 낮춰야 한다는 취지다.

현재 공공 시장에 보안 제품을 공급하기 위해선 CC인증 취득이 필수다. 보안 기업은 제품 보안성 검증을 위한 CC인증 필요성은 인정한다.

하지만 CC인증이 정형화된 틀로 운영돼 신기술·신제품은 인증을 받는 게 사실상 차단돼 있다. 현재 CC인증을 받으려면 인증 대상 제품 23종 유형별로 국가정보원 국가용보안요구사항에서 규정한 방식을 충족해야 한다. 웹 방화벽 경우에 PP에서 정의된 '인라인 방식'과 '리버스 프록시 방식' 중 반드시 한 가지 방식에 해당해야 인증을 받을 수 있다. 이는 23종 유형과 세부 기준에 포함되지 않는 신기술·신제품은 CC인증 자체가 불가능하다는 의미다.

보안 기업 관계자는 “보안 제품을 컵에 비유하면 소재, 크기, 모양 등이 규정돼 이를 벗어난 제품은 컵으로 인정받지 못하는 상황”이라고 설명했다.

CC인증을 받지 못하면 공공은 물론이고 민간 시장 진입도 차단된다. 공공 부문은 CC인증을 필수로 요구하고, 민간은 공공 부문 레퍼런스를 준용하기 때문이다.

올해부터 국가·공공기관에 정보보호제품을 납품할 경우 CC를 '보안기능 확인서'로 대체할 수 있도록 제도가 개선됐지만, 이 또한 반쪽짜리에 불과하다.

공공 분야 수의계약 대상 정보보호 인증제품은 '굿 소프트웨어(GS)인증' 혹은 CC인증 중 하나를 취득해야 나라장터 종합쇼핑몰에 정보보호 제품으로 등록 가능하다는 규정은 그대로다. 정작 국가계약법 시행령 개정이 이뤄지지 않고 있기 때문이다.

사이버 보안 기업은 보안 산업 패러다임이 변화에 따른 유연한 인증제도로 전환이 필요하다고 목소리를 높이고 있다. 보안기능확인서가 CC를 대체할 수 있도록 시행령 개정과, 보안기능확인서 시험 인프라 확충이 시급하다고 주문한다. 나아가 기술·제품 인증이 아니라 정보보안 기업 자체를 인증하는 등 발상의 전환도 요구했다.

이동범 한국정보보호산업협회장은 “신기술을 수용할 수 있는 인증 체계로 전환해 신기술·신제품이 조달시장에 적용되는 생태계를 조성해야 한다”며 “CC인증도 개선되고 있지만 시장이 보안 제품을 선택할 수 있도록 생태계 자체를 변화시켜야 한다”고 말했다.


정보 보호 제품 인증 문제점 및 개선 방안

최호기자 snoop@etnews.com