CC인증 기다리다...보안사업 '올스톱'

"발급까지 1년" 올해 갑절 길어져
상당수 업체, 사업 중단 내몰려
"발급기관 국보연서 적체" 지적
과기정통부 "내달 개선안 제시"

게티이미지뱅크
게티이미지뱅크

공통평가기준(CC) 인증 적체에 대한 업계의 불만이 커지고 있다. CC인증 없이는 사업이 불가능한데도 관계기관은 이렇다 할 대책을 내놓지 않고 있다.

6일 업계에 따르면 올해 CC인증 발급 기간이 지난해보다 약 두 배 길어진 것으로 나타났다. 그동안 CC인증 신청부터 최종 발급까지 통상 3~6개월이 걸렸다. 이 기간이 지난해 말 정보기술(IT) 보안 인증제도 개편 이후 6개월에서 1년까지 늘어났다. 지난 1월 인증을 신청하고 지금까지도 인증을 받지 못한 사례도 있다. 업체들은 CC인증이 나올 때까지 사실상 사업을 중단할 수밖에 없는 상황에 내몰렸다.

보안업체가 공공기관에 제품을 공급하기 위해서는 CC인증을 받아야 한다. 인증은 보안 제품의 신뢰성 확보를 위해 지난 2002년에 시행됐다. 서버 접근통제 등 총 23종의 보안 제품이 CC인증 대상이다.

국가보안기술연구소 IT보안인증사무국이 인증기관이다. CC인증을 받으려면 먼저 한국인터넷진흥원(KISA), 한국시스템보증, 한국아이티평가원, 한국정보통신기술협회(TTA), 한국정보보안기술원, 한국기계전기전자시험연구원 등 6개 평가기관에서 제품 평가를 받아야 한다. 이 결과를 토대로 국보연이 인증을 내주는 방식이다.

지난 상반기에 인증을 신청하고 평가를 진행한 상당수 업체가 지금까지 인증을 받지 못한 것으로 확인됐다.

업계 관계자는 “지난 1월 인증 신청 후 상반기를 보냈는데 지금까지도 인증에 대한 어떤 결과를 확인할 수 없었다”면서 “언제까지 사업에 손을 놓고 있어야 하는지 모르겠다”고 말했다.

업계는 인증 적체 원인이 인증 발급기관인 국보연에 있다고 입을 모은다. 평가기관 평가가 이뤄졌음에도 아무런 설명 없이 인증 발급을 미룬다는 주장이다. 업계는 인증 관련 정책조정 과정에서 혼선이 빚어진 것 아닌지 추측하고 있다.

또 다른 업계 관계자는 “인증사무국 홈페이지에는 인증 안내 전화번호조차 없다”면서 “어렵게 통화하니 전화번호를 알려주면 문의와 민원이 많아서 업무를 볼 수 없으니 연락은 평가기관으로 하라는 대답을 들었다”고 토로했다. 이 관계자는 “보안 업체에 CC인증은 공공사업에서 가장 중요한 부분”이라면서 “자칫 인증에 문제가 생기면 업체는 2~3년 허송세월할 수 있다”고 강조했다.

과기정통부는 특정 시기에 CC인증 수요가 몰려 적체가 발생한다고 설명했다.

정재욱 과기정통부 사이버침해대응과장은 “최근 5년 동안 연평균 약 80개의 보안 제품이 CC인증을 받았다”면서 “인증 수요가 연중 분산되지 않고 특정 시기에 몰리면 적체가 발생할 수 있다. 매년 CC인증 수요가 증가하는 흐름도 적체 이유”라고 말했다.

과기정통부에 따르면 2018년 CC인증은 58건 발급됐지만 지난해 79건으로 크게 늘었다. 올해 CC인증 평가기관 가운데 TTA에서의 상반기 CC인증 대기 건수가 18건으로 집계됐다. 한국시스템보증은 4건, 한국아이티평가원은 9건, 한국정보보안기술원은 7건, 한국기계전기전자시험연구원은 3건이 CC인증 평가를 위해 접수됐다.

정 과장은 “지난달부터 국정원, 평가기관, 보안업체가 참여하는 태스크포스(TF)를 운영하고 있다”면서 “다양한 이해관계자들의 의견을 수렴하고 있다”고 말했다. 정 과장은 “다음 달 CC인증 관련 정책 초안을 제시할 것”이라고 덧붙였다.

국보연 측은 “인증 적체에 대한 업계의 불만을 알고 있다”면서 “과기정통부와 함께 방안을 찾고 있다”고 밝혔다.

오다인기자 ohdain@etnews.com