소프트웨어를 비롯해 각종 하드웨어의 사이버 위협이 급속도로 증가하면서 국제상호인정협정(CCRA)의 세력이 확대되고 있다. CCRA 가입국 사이에 정보보호 제품을 공통으로 평가하는 기준이었던 공통평가기준(CC)이 보안솔루션은 물론 운영체계, 디지털 복합기, 반도체 등 IT제품 전반의 신뢰성을 평가하는 기준으로 확산되고 있다.
CCRA 운영위원회가 28일과 29일 이틀간 일본 도쿄 ANA호텔에서 개최한 ‘제6회 국제공통평가기준(ICCC) 콘퍼런스 2005’에 각국 정보기관 관계자와 정보보호 전문가 500여 명이 참여하는 등 높은 호응을 보였다.
◇ICCC콘퍼런스 2005, CCRA세력 확대=ICCC 콘퍼런스는 6회째를 맞아 아시아 국가 중 처음으로 일본이 개최하는 영예를 안았다. 그동안 ICCC는 CCRA 결성을 주도한 유럽과 미국에서만 열려왔다. 2003년 일본이 인증서발행국(CAP)으로 가입하면서 CCRA의 아시아권 국가에 대한 영향력도 확대되고 있다.
1998년 만들어진 CCRA에는 미국과 캐나다, 영국, 프랑스, 독일 등 6개국이 참여했다. 이후 호주와 뉴질랜드가 가입해 7개국으로 늘어났으며 2000년 5월, 미국 볼티모어에서 개최된 제1회 ICCC 콘퍼런스에서 네덜란드와 이탈리아, 그리스, 핀란드, 노르웨이, 스페인 등 6개국이 참여해 총 13개국으로 확대됐다. 이후 이스라엘과 일본, 스웨덴, 헝가리, 터키, 체코, 싱가포르, 인도, 오스트리아 등이 가입하며 22개국으로 급증했다. 여기에 우리나라가 CAP국으로 CCRA 가입 심사 절차에 들어갔으며 중국과 대만이 새로 CCRA 가입을 위한 준비작업에 착수해 CCRA의 영향력은 더욱 확대될 전망이다.
프리츠타일 CCRA 관리위원회 의장은 “현재 22개 가입국에 이어 내년에는 25개국으로 CCRA 가입국이 늘어날 전망”이라며 “모든 제품의 보안 인증에 대한 요구가 높아지면서 CCRA 참여국이 증가하고 있다”고 말했다.
◇CC인증은 보안성과 신뢰성의 상징=그동안 국내에서 CC인증은 정보보호 솔루션에 국한된 것으로 인식돼 왔다. 이에 따라 우리나라가 CCRA에 가입하면 공공기관을 중심으로 형성된 정보보호 시장을 다국적 기업에 개방해야 한다는 불안감이 높은 상황이다.
하지만, 이미 선진국들은 CC인증을 정보보호 솔루션을 넘어 IT와 관련된 모든 제품의 보안성과 신뢰성을 보증하는 인증으로 인식하기 시작했다. 미국 정부는 조달품목 등록시 IT제품에 대해 CC인증을 요구하고 있으며 일본 기업들은 모든 IT제품 개발시 CC인증을 염두에 두고 개발을 진행하고 있다.
요시아키 이부치 일본 샤프 디지털문서시스템그룹장은 “미국 등 선진국에 복사기와 팩스, 프린터 등을 하나의 시스템으로 구성한 디지털 복합기를 수출할 때 가장 먼저 요구한 것이 보안성에 대한 인증이었다”며 “보안 위협이 날로 증가하면서 모든 IT제품에 보안성 인증이 필수 항목으로 확대돼 CC인증 획득의 필요성이 높아지고 있다”고 말했다.
◇CCRA가입은 선택 아닌 필수=이번 콘퍼런스에서는 IT제품의 보안성과 신뢰성에 대한 인증의 중심에 CC가 있다는 것을 보여줬다. 이에 따라 선진국들은 네트워크에 설치되는 모든 제품에 대해 보안성과 신뢰성 인증인 CC인증을 요구하고 나섰다. 이런 요구와 CCRA가입국간 상호인증을 통해 IT제품에 대한 일종의 무역 장벽이 될 것이라는 게 이번 콘퍼런스 참가자들의 중론이다.
국정원 관계자는 “CCRA는 이제 단순히 정보보호 제품을 상호 인정하는 수준을 넘어서 IT솔루션 전반에 보안성을 인정하는 세계적인 그룹으로 성장하고 있다”며 “CCRA에 가입하지 못하면 수출 의존도가 높은 국내 IT기업들이 막대한 비용과 시간을 들여 해외에서 제품에 대한 평가인증을 진행해야 한다”고 말했다. 그는 또 “CCRA 가입 전까지 현재 국내 기업이 해외 수출을 위해선 10억원 가량의 비용과 최소 1년여 동안 CC평가를 받아야 한다”며 “삼성전자와 LG전자 등 글로벌 기업들이 국내에서 적은 비용과 빠른 시간 안에 CC인증을 받을 수 있도록 CCRA가입을 위한 외교적 노력이 집중되고 있다”고 설명했다.
도쿄(일본)=김인순기자@전자신문, insoon@
◆우리나라 CCRA가입 어디까지 왔나
우리나라는 내년 상반기 CCRA에 인증서발행국(CAP)으로 가입을 목표로 막바지 심사 작업에 참여하고 있다.
CCRA는 인증서를 발행하는 인증서발행국(CAP)과 인증서는 발행하지 않고 이를 인정하는 인증서수용국(CCP)으로 이원화돼 있다.
우리나라가 CAP가 되면 국내에서 평가인증한 CC 인증서를 해외에서 모두 인정받을 수 있게 돼 국내 보안 기업은 물론 IT기업들의 해외 수출에 든든한 지원 체제를 갖추게 된다. 이에 따라 관련 기관인 국가정보원과 한국정보보호진흥원(KISA)은 지난해 9월 14일 CCRA 가입 신청서를 내고 본격적인 가입 절차를 밟고 있다.
우리나라는 지난 1월 가입심사를 받을 수 있는 1차 심사를 회원국 만장일치로 통과했으며 6월 네덜란드에서 개최된 CCRA 심사위원회 총회에서 인증서발행국(CAP) 가입 심사 대상국으로 선정됐다.
올해 CAP 심사를 신청한 국가는 우리나라를 비롯해 네덜란드, 노르웨이, 스웨덴, 스페인, 이탈리아, 독일, 호주 등 8개국이며 우리나라를 제외한 7개국은 인증서수용국(CCP)다. 우리나라는 CCP가 아님에도 불구하고 심사위원회 총회에서 CCRA 가입 역량과 준비 현황 등을 적극 홍보해 심사 대상국으로 선정됐다.
국정원과 KISA는 28일과 29일 도쿄에서 열린 ‘제6회 ICCC 2005’에서 심사 위원국을 대상으로 ‘한국 공통평가기준(CC) 및 공통평가방법론(CEM)’을 적극 홍보해 심사위원들로부터 긍정적인 반응을 얻어냈다.
우리나라의 심사위원국으로 선정된 호주 국방암호통신위원회(DSD)와 일본 정보처리추진기구(IPA)는 다음달 한국을 방문해 인증기관인 국정원과 평가기관인 KISA에 대해 2주간의 실사를 진행할 예정이다. 실질 심사가 끝나고 75일 후 CCRA 심사위원회는 투표를 하고 여기서 만장일치 통과가 결정되면 우리나라는 내년 상반기 CAP국이 될 수 있다.
노병규 KISA 보안성평가센터 단장은 “CCRA 가입에서 가장 중요한 것은 국내 공통평가기준과 공통평가방법론을 적용한 실제 사례와 오랜 시간에 걸쳐 쌓은 외교력”이라며 “심사위원국인 일본은 물론 독일 등과 협력 관계를 강화해 CAP로 가입을 낙관하고 있다”고 설명했다.
◆ICCC콘퍼런스, 일본 대표 기업들 보안에 초점
아시아 최초로 일본 도쿄에서 개최된 이번 ICCC 2005 콘퍼런스에는 캐논과 히타치, 후지쯔 등 일본을 대표하는 IT기업들이 보안성과 신뢰성을 강화한 제품을 대거 선보였다. 또 영국과 독일 등 정보보호 제품 평가인증기관들이 CC와 공통평가방법론을 홍보하며 자국의 평가인증 시스템을 널리 홍보하는 자리가 마련됐다. 정보보호 전문기업으로는 세계 1위의 정보보호전문기업인 시만텍과 사이버가드 등이 참여했으며 국내에서는 LG엔시스가 주문형반도체(ASIC) 기반 침입방지시스템(IPS)을 전시했다.
국내 대표로 참석한 LG엔시스(대표 박계현 http://www.lgnsys.com)는 국내에서 CC인증을 획득한 IPS ‘세이프존 IPS’와 최근 신규 출시한 네트워크 통합보안솔루션 ‘세이프존 IPS-U’로 국내 보안 기술을 소개했다. 일본 대표 기업인 샤프와 후지제록스 등은 기존 CC인증 품목의 상식을 깨고 EAL3 등급의 CC인증을 획득한 디지털 복합기를 내놓아 눈길을 끌었다.
캐논 역시 디지털 카메라의 개발 첫 단계부터 CC인증을 염두에 두고 개발을 진행하고 있는 사례를 소개했다.
노부히로 타가시라 캐논 담당자는 “IT제품에 대한 보안 평가의 중요성은 날로 높아지고 있다”며 “캐논은 CC에 준해 제품을 개발하면서 제품 보안성과 신뢰성을 별도로 분리하지 않아 생산성이 더욱 높아졌다”고 말했다.
◆인터뷰-ICCC에서 만난 박계현 LG엔시스 사장
“우리나라의 CCRA가입은 국내 IT기업의 경쟁력과 직결되는 아주 중대한 사안입니다.”
ICCC 2005에 국내 대표로 전시 부스를 마련한 LG엔시스의 박계현 사장은 이번 콘퍼런스를 통해 CCRA 가입의 중요성과 CC의 확산에 대해 놀라움을 금치 못했다고 설명했다.
“일본은 정부가 아닌 기업들이 나서 인증서발행국(CAP)로 CCRA 가입을 적극 추진했습니다. 국내 기업이 시장 개방을 두려워해 CCRA 가입에 부정적인 시각을 가진 것과 반대되는 현상입니다.”
박 사장은 CCRA 가입은 국내 보안시장 개방이라는 근시안적인 접근이 아닌 전체 IT기업의 수출과 향후 비즈니스 방향을 판가름하는 시각으로 다시 조명돼야 한다고 강조했다.
그는 특히 전세계 IT 시장에서 우리의 라이벌인 일본 대표 기업들이 우리보다 한발 앞서 제품의 보안과 신뢰성 인증을 확보한 것이 향후 시장에 엄청난 파급력을 가져올 것이라고 분석했다.
“제품과 각종 IT서비스의 시작부터 보안의 중요성이 강조되고 있습니다. 이제 세계 시장에 수출할 모든 제품은 보안성을 최우선으로 반드시 고려해야 상품으로 인정받게 될 것입니다.”
박 사장은 “엄청난 수출 장벽으로 작용하게 될 CC평가 인증과 이를 상호 인정하는 협력체인 CCRA로 가입은 이제 필수 사항”이라며 “국내 IT기업들이 이 같은 세계적인 추세에 적극 대응해야 경쟁력을 키울 수 있다”고 밝혔다.
도쿄(일본)=김인순기자@전자신문, insoon@