- 보안솔루션 사후 CC인증 놓고 보안업체와 인증기관 의견차

[디지털데일리 이민형기자] 내년 2월부터 국제공통평가기준(CC) 인증을 획득한 모든 보안솔루션은 3년 주기로 갱신해야 한다. 우선 대상은 2011년 2월 이전에 CC인증을 받은 제품들이다.

보안업계는 3년 주기 갱신 제도 시행에 당혹감을 호소하며 ‘사후인증제’ 도입을 요구하고 있다. 갱신까지 시간이 부족 할뿐더러 신규 보안솔루션에 대한 CC인증이 늦어지고 있기 때문이다.

하지만 국가보안기술연구소를 비롯한 평가기관들은 3년 전에 이미 논의가 된 내용이며, 국가 사이버안보를 위해 사후인증제는 인정할 수 없다는 강경한 모습을 보이고 있다.

12일 하태경 의원(새누리당)이 주최한 ‘정보보호시스템 평가 인증제 개선 정책세미나’에서는 보안업계의 입장과 인증기관의 입장이 첨예하게 대립한 가운데 서로의 의견을 조율했다.

◆보안업계 “갱신까지 시간 부족, 사후인증제 필요”=보안업계에서는 기존 CC인증 획득 제품들에 대한 재심사가 가장 큰 부담이라고 입을 모았다. 특히 준비기간이 너무 짧다는 주장이다.

백승태 소만사 품질보증팀장은 “보안솔루션의 개발 주기가 짧아지고 위협이 고도화됨에 따라 갱신이 필요하다는 의견에 대해서는 적극 동의한다”며 “그러나 현재 CC인증 심사가 적체되고 있는 상황에서 기존 제품에 대한 갱신이 맞물린다면 분명 적체가 심화될 것”이라고 강조했다.

이어 “이를 위해 특정 제품에 대한 ‘선별적 사후인증제’를 도입해 현실적인 적체 해소 방안을 구체화해야 할 것”이라고 덧붙였다.

백 팀장의 주장은 ‘인증 적체’에 초점이 잡혀있다. 현재 CC인증을 획득하기까지 소요되는 시간은 약 6~8개월. 지금 당장 재심사를 신청한다고 해도 CC인증이 갱신되는 시점은 내년 2분기다. 자칫하다간 내년 상반기 사업 수주에 차질을 빚을 수도 있다.

백 팀장은 “특히 영세한 보안업체들이나 시장이 급박하게 돌아갈 경우 CC인증이 오히려 기업과 기관의 발목을 잡을 수 있다”고 지적했다. 올해 한참 이슈로 떠오른 시큐어코딩과 모바일단말관리(MDM)가 그 사례다. 두 솔루션 모두 오래전부터 시장의 수요는 존재했으나 CC인증 문제로 인해 성장이 주춤했다.

보안업계에서는 이를 이유로 사후인증제 도입을 요구하고 있다.

이장훈 지식정보보안산업협회 상근부회장은 “변화하는 시대에 적극적으로 대응하기 위해서는 사후인증제 도입이 필요하다”며 “새롭게 개발된 솔루션이나 시장이 요구하는 솔루션에 한해 선별적으로 사후인증을 도입한다면 문제나 충돌이 발생하진 않을 것”이라고 주장했다.

◆CC인증 심사기관 “사후인증제는 불가, 다른 방법 고민해야”=국보연, 한국인터넷진흥원(KISA), 평가기관은 모두 ‘사후인증제’ 도입은 불가능하다는 결론을 내렸다.

다만 적체를 최소화하고 인증심사절차를 줄여 인증 획득을 보다 수월하게 할 수 있도록 도울 예정이다.

이안식 국보연 IT보안인증사무국장은 “과거 CC인증 심사에서 한번만에 통과한 보안솔루션은 단 한건도 없다. 통상 10회 이상의 피드백을 주고받은 후에야 인증을 획득했다”며 “이런 상황에서 사후인증제를 도입하자는 것은 매우 위험한 이야기”라고 강조했다.

이어 “CC인증은 단순한 인증이 아니라 개발된 보안솔루션의 오점이나 결점을 보완해 완벽하게 만드는 것이 목적”이라며 “다만 보안업체들의 애로사항에 대해서는 적극 동감하며 이에 대한 연구를 계속해나갈 것”이라고 덧붙였다.

국보연에서는 평가 적체를 최소화하기 위해 인증 제도를 개선할 계획이다. 이상훈 국보연 실장은 “업체가 제출하는 보고서의 분량을 50% 이상 최소화하고, 평가기간, 비용을 줄이기 위해 노력하고 있다”며 “또 기존에는 인증이 완료된 후 신규평가를 실시했으나, 앞으로는 평가완료 후 즉시 신규평가에 착수해 대기기간을 단축할 것”이라고 설명했다.

또 이 실장은 내년 3월 국제상호인정협정(CCRA) 개정으로 인해 제품군별 협력보호프로파일(Collaborative Protection Profiles, cPP) 중요성이 높아졌으므로 이에 대한 준비가 필요하다고 지적했다.

기존 CCRA에서는 평가보증등급(EAL) 4등급 이하는 국가별 규격에 상관없이 상호인정했다. 하지만 내년 3월부터는 cPP 준용제품에 한해 EAL4 이하만 상호인정된다. 즉, cPP를 지키지 않은 제품은 EAL2까지만 획득할 수 있다는 의미다. 단, 국내 CC인증에는 해당되지 않는다.

이 실장은 “국제경쟁력 확보를 위해 보안업체, 평가기관이 나서서 cPP 개발에 참여해야 한다”고 말했다.

평가자 양성이 필요하다는 지적도 나왔다. 강석열 국보연 소장은 “CC인증 적체를 해소하기 위해서는 평가기관들이 평가자 양성에 나서는 것이 해결책이 될 것”이라고 지적했다.

실제 지난 5년간 평가기관은 5개(기존 1개)로, 평가자는 63명(기존 40명)으로 소폭 증가했으나 인증 대상 제품군은 4.5배 증가했다. 적체가 발생할 수 밖에 없는 상황.

조대일 한국시스템보증 대표는 “최근 새로운 솔루션 등장으로 수요예측이 힘들었다”며 “심사원 양성은 꾸준하게 이뤄지고 있으며 내년 이후부터 적체는 확실히 해소될 것”이라고 전했다.

<이민형 기자>kiku@ddaily.co.kr