법제도/정책

CC인증 제도, 어떻게 달라지나

이민형

[디지털데일리 이민형기자] 이달부터 국내용 국제공통평가기준(CC) 인증제도가 기존 유효기간 없음에서 3년 갱신으로 변경돼 적용된다. 대상은 CC인증 규격이 있는 모든 보안솔루션이다.

이번 변경과 관련 학계를 비롯해 보안업계에서는 긍정적인 반응을 보이고 있다. 다만 인증 평가 적체에 대해서는 여전히 보완이 필요하다고 말했다.

보안업계 관계자는 “단기적인 관점에서는 보안업체들의 부담이 증가할 수 있으나 장기적인 관점으로는 제품의 라이프사이클을 개발사가 꾸준히 관리할 수 있도록 해 국가의 인프라를 강화하는 초석이 될 수 있을 것”이라고 강조했다.

최근 한 방송사에 공급된 보안솔루션은 CC인증을 획득한 제품임에도 불구하고 보안상 결함이 발생해 논란이 되기로 했다. 이러한 일이 발생하는 이유가 바로 ‘CC인증 영구 유효’에 있다는 것이 전문가들의 의견이다.

김승주 고려대 정보보호대학원 교수는 “보안업체들이 CC인증을 취득한 이후에는 제품의 취약점에 대해 크게 고민하지 않았다는 부분이 핵심”이라며 “지난해 대규모 사고 역시 제품의 취약점을 수정하지 않았기 때문에 발생한 것”이라고 설명했다.

과거 CC인증이 유효기간이 없었던 이유는 소스코드가 수정되거나 변경되면 다시 인증을 받아야했기 때문이다. 취약점은 지속적으로 등장하고 이에 대응하기 위해선 소스코드를 수정해야 한다. 굳이 인증기관에서 갱신을 요구하지 않더라도 보안업체들이 스스로 갱신할 것이라고 판단한 것이다.

하지만 많은 보안업체들은 시간과 비용 등의 이유로 제품에 취약점이 있더라도 이를 패치하지 않는 경우가 많다. CC인증을 유지하기 위한 이유이기도 하다.

김 교수는 “앞으로 CC인증을 갱신토록 하면 제품 취약점으로 발생하는 보안사고는 줄어들 수 있을 것이며, 제품에 대한 신뢰도도 높아질 것”이라고 덧붙였다.

반면 일부 보안업계에서는 제도 변경으로 평가 적체, 비용 증가 등 부작용을 우려하고 있다.

평가를 받기 위해 소요되는 금액은 최소 몇 천만원에서 많게는 수억원에 달한다. 갱신 평가의 경우 최초 평가보다는 비용이 줄어들겠지만 부담은 줄지 않는다.

가장 우려하는 부분은 평가 적체다. 보안솔루션에게 있어 출시 시기는 제품 경쟁력 요인중 하나다. 평가 적체로 인해 인증 획득이 늦어지면 그만큼 제품 경쟁력이 떨어질 수도 있다.

업계 관계자는 “기존 제품 평가가 6~8개월 가량 소요됐다. 갱신으로 변경되면 그 기간이 더욱 길어질 가능성도 있으리라 본다”며 “인증 평가가 수요를 받쳐줄 수 있도록 정부의 노력이 필요하다”고 말했다.

국가보안기술연구원은 평가 적체를 최소화하기 위해 업체가 제출하는 보고서의 분량을 50% 이상 최소화하고 평가 완료 후 즉시 신규평가 착수하는 절차로 변경해 대기기간을 단축할 계획이다. 또 추가로 인증 평가기관을 지정해 평가 적체를 최소화할 예정이다.

이러한 개선책으로 국보연은 CC인증 평가에 소요되는 기간이 약 4개월 정도로 단축될 것으로 예상했다. 또 올해 한국정보보안기술원 등 신규 인증 평가기관 지정을 목표로 준비하는 업체도 있어 적체 해소가 기대되고 있다.

CC인증 제조 변경과 함께 내달부터 시행되는 개정 국제상호인정협정(CCRA)도 주목해야 한다.

기존 CCRA에서는 평가보증등급(EAL) 4등급 이하는 국가별 규격에 상관없이 상호인정했다. 하지만 3월부터는 EAL 기반 상호인정에서 협력보호프로파일(Collaborative Protection Profiles, cPP) 기반 상호인정 방식으로 변경된다.

가령 국가보안기술연구원에서 국제용 CC인증(EAL4)를 받았더라도 CCRA의 cPP를 준용하지 않았다면 해외에서는 이를 인정받을 수 없다는 의미다.

이에 따라 향후 국제용 CC인증은 cPP 준용에 따라 변경될 가능성이 높으며, 이는 국내 보안솔루션의 해외수출에도 적잖은 영향을 미칠 것으로 보인다. 이와 관련 국내 보안솔루션 업계에서는 한국CC사용자포럼(KCCUF)를 구성해 대응할 계획이다.

한편 국보연에 따르면 올해 중으로 CC인증 갱신을 받아야 하는 제품은 모두 170여개로 이중 실제 시장에서 유통되는 제품 대부분이 갱신 평가 계약을 신청했다.

갱신 평가 대상은 지난 2011년 2월 이전에 CC인증을 받은 제품으로 국보연은 올해 중 갱신 평가를 마무리할 계획이다. 갱신 평가를 받고 있는 제품은 평가 기간 중에는 CC인증 획득이 인정된다.

보안업체들은 CC인증을 중복으로 받은 제품을 제외한 나머지 제품을 평가받을 계획이다. 안랩의 경우 갱신 대상 제품은 약 15개이지만, 이 중 7개 제품만 갱신할 계획이다. 다른 업체들도 메이저 업데이트를 통해 CC인증 평가를 새롭게 받은 제품군에 대해서는 중복 갱신을 피한다는 입장이다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널