솔루션

“CC인증 규격 제정 주도권 잡자”…한국CC사용자포럼 내달 출범

이민형 기자
- 한국CC사용자포럼, CCRA 활동 강화로 cPP 제정 주도권 확보나서

[디지털데일리 이민형기자] 국제공통평가기준(CC) 인증 규격 제정에 관한 주도권을 확보하기 위해 국내 보안업체들이 힘을 모은다.

28일 한국CC사용자포럼(Korea Common Criteria Users Forum, KCCUF) 준비위원회는 내달 총회를 열고 포럼을 정식 출범할 예정이다. 
 
KCCUF는 국제상호인정협정(CCRA) 활동을 위한 국내 IT보안업체들의 모임으로 만들어진다. 기존 CC인증 규격 개선안이나 신규 솔루션 인증 규격 등을 우리나라 CCRA 사무국인 국가보안기술연구소에 제기해 국제 경쟁력을 확보하는 것이 목표다. 현재 7개의 보안업체가 참여하고 있다.

임수진 KCCF 준비위원장(SGA 이사)은 “우리나라가 CCRA 회원국으로 포함돼 있으나 활동이 저조해 다른 국가에서 내놓는 평가정책(Collaborative Protection Profiles, cPP)을 따라가기 바쁘다”며 “KCCUF는 국제상호인정협정(CCRA)에 cPP 개선안을 꾸준히 제안해 우리 실정에 맞는 규격을 만들기 위해 노력할 것”이라고 말했다.

CCRA는 1998년 미국을 중심으로 영국, 프랑스, 캐나다, 독일 등 7개국이 정보보호 제품의 국가 간 교역장벽을 낮추기 위해 맺은 협정이다.

CCRA에 가입하면 각국은 보안솔루션의 cPP를 CC로 표준화한다. CC를 통과한 보안솔루션이 수출될 경우 협정국 간에는 별도의 평가절차를 거치지 않아도 된다. 우리나라는 지난 2006년 회원국으로 가입했다.

CCRA에 가입한 국가들은 cPP 제정의 주도권을 잡기위해 총력을 다하고 있다. cPP의 주도권을 잡게 되면 자신들의 상황에 맞는 cPP를 만들 수 있게 되고, 이는 곧 CC인증 제품의 확대로 이어져 경쟁력을 강화시킬 수 있기 때문이다.

임 위원장은 “해외에서는 오래전부터 CC사용자포럼(CCUF)이 만들어져 활동하고 있는데 현재 미국 기업들의 주도권이 높은 편”이라며 “이는 미국의 기업들이 cPP를 보다 자신들에게 유리하게 만들기 위해 기술개발을 비롯해 업체 간 협력을 아끼지 않기 때문”이라고 설명했다.

이어 “국내 보안업체들이 해외에서 경쟁력을 갖추기 위해서는 cPP 제정에 관심을 가져야한다. 이를 위해 탄생한 것이 바로 KCCUF”라고 덧붙였다.

우리나라는 CCRA에 가입돼 있지만 활동은 미미한 편이다. 국내용 CC인증이 있기 때문이다.

국내용은 국제용 CC인증과 달리 CCRA의 cPP를 변형해 제출물 간소화, 평가기간 단축 등 국내 보안시장 환경에 맞게 현행화해 정책을 적용하고 있다.

하지만 결국 기본 평가체계의 핵심 기술과 글로벌경쟁력은 CCRA의 cPP에 있다. 따라서 CCRA 주요 활동사항을 지속적으로 모니터링 하고 국내에 유리하도록 국제 평가기술과 정책 변화에 많은 관심을 기울여야 한다.

특히 내년 3월 CCRA 개정으로 인해 cPP의 중요성이 더욱 높아질 것으로 예상된다. 기존 CCRA에서는 평가보증등급(EAL) 4등급 이하는 국가별 규격에 상관없이 상호인정했다. 하지만 내년 3월부터는 cPP 준용제품에 한해 EAL4 이하만 상호인정된다. 즉, cPP를 지키지 않은 제품은 EAL2까지만 획득할 수 있다.

이와 관련 임 위원장은 “우리나라 보안업체들이 글로벌경쟁력을 확보하기 위해서는 cPP 제정의 주도권을 먼저 쥐어야 한다. 그러기 위해서는 국내 업체들의 협력이 절실하다”며 “현재 KCCUF는 보안업체로만 구성돼 있으나 삼성전자나 LG전자와 같은 대형 제조사의 참여로 보다 적극적인 활동이 필요한 시기”라고 강조했다.

현재 KCCUF에는 안랩, SGA, 시큐아이, 하우리, 윈스테크넷, 이스트소프트, 엑스게이트 등 7개 업체가 참여하고 있다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널