[정보보호]CC인증 제도 새해 2월 전면 개편...보안업계 "대응 고민되네"

글자 작게 글자 크게 인쇄하기

내년 2월 국내 CC인증 제도 전면개편을 앞두고 보안 업계가 분주하다. 특히 해외 수출에 나선 보안기업들은 국제상호인정협정(CCRA) 정책 변경을 감안해 한국CC사용자포럼(KCCUF) 발족을 추진 중이다. 현행 평가보증등급(EAL) 평가 기반에서 공동 보호프로파일(cPP) 기반으로 정책이 변경되면, cPP준수 여부가 수출 경쟁력의 관건이 될 것이라는 판단에서다.

◇보안업체, CC 공동대응 팔 걷어

한국CC사용자포럼은 내년 초 창립총회를 갖고 cPP 개발 및 평가인증 관련 기술현안을 본격 논의할 예정이다. KCCUF 준비위원장을 맡고 있는 임수진 SGA 이사는 “국제표준기구인 CCRA에 한국 보안기업들의 의견을 전달하는 창구가 될 것”이라며 “장기적으로는 국제표준 마련에 우리나라 의견을 반영할 수 있는 단체로 키워나갈 것”이라고 밝혔다.

현재 KCCUF 준비위원회에는 안랩·시큐아이·윈스테크넷·SGA·하우리 등 7개사가 참여하고 있다. 사용자포럼은 신생기업 교육을 포함해 CC인증 컨설팅도 중장기 사업으로 염두에 두고 있다. CC인증이 스타트업 벤처형 보안기업들의 시장 참여에 큰 걸림돌로 작용한다는 판단에서다. 실제로 CC인증 제도는 보안산업계로 진입하려는 스타트업기업의 진출을 막는 진입장벽이 되고 있다. 통상 수천만원에서 많게는 억대까지 소요되는 비용을 이제 갓 창업한 기업이 부담하기가 쉽지 않기 때문이다.

보안 업계 한 최고경영자(CEO)는 “보안은 이제 글로벌 시장에서 한국을 대표하는 산업으로 성장했다”며 “하지만 젊은 신생기업들의 출현이 최근 몇 년간 거의 이뤄지지 않고 있다”고 우려했다. 지금과 같은 산업 환경에서는 제2의 안랩 출현이 요원하다는 지적이다.

또 다른 보안 업체 대표 역시 “CC인증 제도는 신생 보안기업의 등장을 가로막는 큰 걸림돌이 되고 있다”며 “현재 기득권을 갖고 있는 보안회사들은 현 체제가 좋지만 국가적으로 볼 때 새내기 보안기업들의 시장진입이 보다 자유로워져야 한다”고 강조했다.

◇CC인증 유효기간제 도입

정부는 새해 2월부터 CC평가인증 유효기간 제도를 도입한다. 2002년 도입된 정보보호제품 CC평가인증 제도는 그 동안 인증서 유효기간이 없었다. 하지만 내년 2월 1일까지 유효기간 설정 이전에 인증을 받은 제품은 인증서를 갱신해야 한다. 이 때문에 업체들의 우려는 커지고 있다.

신명철 윈스테크넷 전무는 “CC인증을 받는데 현재 약 8개월이 소요된다. 해킹 기술과 정보보안 기술은 나날이 발전하고 있는데. 8개월 지나야 제품을 받아볼 수 있다”며 “(CC인증) 제도가 보다 현실화됐으면 좋겠다”고 강조했다.

내년에는 CC인증을 받아야 하는 의무대상에 모바일단말관리(MDM), 소스코드 보안 취약성 분석도구도 추가되면서 총 28개로 늘어난다. 정부는 내년 6월부터 국가 및 공공기관이 모바일단말관리(MDM) 제품을 도입할 때 CC인증제품 도입을 의무화해 놓고 있다. 구태회 익스트러스 차장은 “MDM 분야에서 CC인증을 받은 업체가 내년 초 2∼3개 정도 탄생할 것”이라고 예상했다.

전반적으로 보안 업계는 CC인증 비용 부담이 늘어날 것으로 예상한다. 특히 서버보안기업들의 부담이 늘어날 것으로 우려한다. 수출기업들은 현재 EAL 등급 기반에서 cPP 기반으로 변경되면서 부담이 늘어난다. 국제용부터 현행 EAL등급제가 사라질 가능성이 커졌기 때문이다. 국제용 CC인증을 받은 제품은 cPP 기반으로 재검증을 받지 않으면 대상 제품의 등급이 높더라도 EAL2로 등급이 하향된다.

김원석기자 stone201@etnews.com