새해 공통평가기준(CC) 인증 재평가 기준이 완화된다. 신생 보안기업 대상으로 인증 컨설팅도 지원한다.
29일 과학기술정보통신부에 따르면 이 같은 내용을 골자로 한 'CC인증 제도 개선안'이 다음 달 발표된다. 개선안에는 평가기관 확대, 유효기간 연장, 신생기업 컨설팅 지원, 사이트 통합 등 보안업계 고충을 해결할 구체적 방안이 담긴다.
정재욱 과기정통부 사이버침해대응과장은 “기존에는 보안 소프트웨어(SW) 변경 시 획일적으로 CC인증 재평가를 요구했다”면서 “재평가 기준을 완화해 일부 변경 승인을 받을 수 있도록 추진하고 있다”고 말했다.
CC인증 재평가 개선은 업계의 숙원이다. 핵심 기능이 아닌 일부 기능만 변경하더라도 CC인증을 다시 받을 것을 규정, 보안업체로선 비용과 시간 측면에서 부담이 컸다.
재평가 기준이 완화되면 그동안 약 1년 소요되던 기간이 수주 단위로 줄어든다. 비용 역시 수천만원에서 수백만원대로 줄어들 것으로 전망된다. 현재 정부는 인증기관·평가기관·업계와 소통하며 재평가 대상 목록을 정리하고 있다.
CC인증이 클라우드 보안 등 신기술 발전을 가로막는다는 지적에 대해서는 과기정통부와 국가정보원이 해결 방안을 협의하고 있다. 클라우드 기반 보안 제품인 서비스형보안(SECaaS)의 경우 새로운 인증 방안을 놓고 국정원이 검토하고 있다.
보안 신기술 수용을 위한 보호프로파일(PP) 개선은 국가용 보안 요구 사항과 관련된 문제다. 국정원은 과기정통부로부터 국가용 보안 요구 사항 개선에 관한 업계의 의견을 전달받아 검토를 진행한다.
이외에도 CC인증 평가기관 5곳 접수·평가 현황과 단계별 예상 대기 기간 등을 한곳에서 볼 수 있는 통합 사이트를 구축한다. CC인증을 받으려는 업체가 한국시스템보증, 한국아이티평가원, 한국정보통신기술협회, 한국정보보안기술원, 한국기계전기전자시험연구원 등 개별 평가기관에 평가 현황과 예상 시간을 일일이 문의해야 하던 번거로움이 사라진다. 올해처럼 일부 평가기관에 CC인증 접수가 몰려 적체가 발생하던 문제가 해결된다.
국내용 CC인증 유효기간을 기존 3년에서 5년으로 연장하는 방안도 개선안에 포함된다. 국내용 CC인증은 애초 국제용 CC인증에 비해 보안성이 약한 것으로 간주돼 유효기간을 3년만 인정했는데 국제 기준과 달라 국내 기업에 역차별로 작용한다는 지적을 받았다. 이 사안은 중소벤처기업부 옴부즈맨에 민원이 접수된 뒤 실제 개선이 추진된 것으로 알려졌다.
공공기관에서 일괄적으로 CC인증을 요구하던 관행도 개선된다. CC인증 대상이 아닌데도 공공기관 담당자가 보안사고 등 책임 회피를 위해 무조건 CC인증을 받아오라고 요구하는 사례가 많았다. 국정원은 공공기관 담당자 대상 설명회 등을 통해 CC인증 대상이 아닌 제품 등에 관해 명확한 지침을 내릴 예정이다.
오다인기자 ohdain@etnews.com
