올해부터는 국내용 인증을 받으면 3년간만 효력이 인정돼 향후 갱신이 필요하다. 2011년 2월 이전에 CC인증을 받은 제품들은 올해 안에 인증 갱신을 해야한다. 갱신을 하지 않을 경우 내년 1월을 기점으로 CC인증이 소멸된다.

하지만 많은 보안업체들이 출시한 지 오래된 제품은 CC인증 갱신을 하지 않기로 결정하고 있어, 앞으로 공공기관에서 CC인증이 소멸된 보안 제품을 운용하는 일이 발생할 것으로 예측된다.

이 경우 CC인증 버전으로 제품을 업그레이드하거나 새제품으로 교체해야 하지만 CC인증이 소멸된 것을 인지하지 못한 경우를 대비해 대책이 필요해 보인다.

3일 관련업계에 따르면, 변경된 CC인증 제도와 관련해 보안업체들의 고민이 커지고 있다. 특히 신제품 출시로 기존 제품에 대한 CC인증을 유지하지 않기로 결정한 보안업체들은 난색을 표하고 있다. 기존 제품을 사용 중인 공공기관, 지자치단체들이 많기 때문이다.

보안업계 관계자는 “신제품이 CC인증을 획득했기 때문에 기존 제품에 대한 갱신은 하지 않을 계획”이라며 “하지만 내년에 기존제품에 대한 CC인증이 사라지면 이전에 공공기관에 납품한 제품들은 어떻게 조치해야할지 고민하고 있다”고 전했다.

국가·공공기관은 전자정부법 제56조에 의거 반드시 CC인증을 획득한 보안솔루션을 도입해야 한다. CC인증을 획득했으나 기간만료로 소멸한 경우에는 도입한 보안 솔루션을 걷어내야 한다. 하지만 이를 인지하고 있는 담당자는 많지 않다.

서울시 정보기획단 관계자는 “도입된 보안솔루션의 CC인증 유효기간에 대해서는 고민해본 적이 없다. 다른 기관들도 상황은 비슷할 것으로 본다”고 전했다.

보안업계에서는 해결책으로 기존 제품을 사용 중인 기관을 대상으로 장비 업그레이드를 유도하고 있다. 하지만 CC인증 소멸을 이해하지 못하고 있는 기관들이 많아 어려움을 겪고 있다.

다른 관계자는 “CC인증 만료로 솔루션 교체가 필요하다는 내용을 담당자에게 전달하고 있지만 교체를 검토 중인 곳이 많지 않다”며 “CC인증이 소멸된 보안솔루션을 쓰는 기관도 문제가 될 수 있는데 당사자들이 방관만 하고 있어 답답한 심정”이라고 토로했다.

기존 제품에 대해 인증 갱신을 결정하기도 쉽지 않은 상황이다. 주력 제품이 아니기 때문에 수억원의 비용과 시간을 투자하기란 사실상 불가능하다.

실제 많은 보안업체들이 이전 제품에 대한 인증 갱신을 포기했다. 안랩의 경우 갱신 대상 제품은 약 15개이지만, 이 중 7개 제품만 갱신할 계획이다. 다른 업체들도 메이저 업데이트를 통해 CC인증 평가를 새롭게 받은 제품군에 대해서는 중복 갱신을 피한다는 입장이다.

한편 올해를 기준으로 CC인증 갱신을 받아야하는 제품은 모두 170여개다. 이중 3분의 2은 갱신 평가계약을 체결했다. 나머지 3분의 1은 인증 갱신을 포기했다.

<이민형 기자>kiku@ddaily.co.kr