[디지털데일리 이민형기자] 미래창조과학부가 국제공통평가기준(CC) 인증 업무를 넘겨받았다. 다만 인증사무국은 당분간 국보연 IT보안인증사무국으로 유지된다.

1일 미래부에 따르면, 국가보안기술연구소가 주관하던 CC인증 업무 이관이 완료됐다.

강성주 미래부 정보화전략국장은 “미래부는 정보보호를 새로운 먹을거리 산업으로 선정하고 육성할 계획”이라며 “이번 업무 이관도 이와 같은 맥락에서 진행되는 것이며 앞으로 CC인증이 ‘규제’가 아닌 ‘육성’에 초점을 맞출 것”이라고 밝혔다.

이번이 미래부로 이관된 CC인증 업무에는 국내용 CC인증을 비롯해 국제용 CC인증도 모두 포함됐다. 국내 CC인증은 정보보호시스템 평가·인증 제도라고도 불린다. 보안적합성 검증과 암호모듈검증은 여전히 국가정보원이 담당하게 된다.

또 인증사무국도 당분간 국보연 IT보안인증사무국으로 유지된다. 이는 차기 인증사무국 기관 선정과 업무 분장이 미래부 내부에서 완료되지 않았기 때문이다.

미래부가 CC인증 제도를 자체적으로 운영하기 위해서는 인증사무국을 새롭게 꾸려야 한다. 국보연 IT보안인증사무국은 미래부 소관이 아니기 때문이다. 하지만 현재 인증사무국을 운영할 인력이 있는 기관이 없어 당분간은 기존 IT보안인증사무국에 업무를 위임할 계획이다.

당장 신규 인증사무국 설립이 된다고 하더라도 업무 수행은 힘들다. 국제상호인정협정(Common Criteria Recognition Arrangement, CCRA)에서 CC인증 심사기관을 변경하는 절차가 필요하기 때문이다.

CCRA는 일년에 두 번 총회를 갖고 CC인증에 대해 논의하며, 이 자리에서 CC인증 심사기관 지정을 투표로 결정한다.

국보원 관계자는 “인증사무국을 어떻게 운영할 것인지를 빨리 정한 뒤, CC인증 심사기관 지정을 서둘러 추진해야 할 것”이라며 “복수 심사기관 지정을 목표로 준비하는 것이 가장 빠른 방법이라 본다”고 전했다.

즉, IT보안인증사무국의 CC인증 심사기관으로서의 위치는 존속시키고, 새로운 인증사무국을 설립한 뒤 심사기관 지정을 추진해야한다는 지적이다. CCRA 정책에 따르면 복수의 심사기관 설립이 가능하다.

현재 미래부는 신규 인증사무국을 한국인터넷진흥원(KISA)에 두거나 제3의 독립기관을 설립해 지정하는 것을 고려하고 있다. 미래부 관계자는 “내년 중 신규 인증사무국 설립을 완료하고 CC인증 업무를 추진할 예정”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr