[디지털데일리 이민형기자] 국가보안기술연구소가 공통평가기준(CC) 인증 평가의 적체를 해소하기 위해 평가기관 확대에 나서고 있지만 보안업계의 우려가 사그라들지 않고 있다.

최근 한국정보보안기술원(KOIST)이 CC인증 평가기관으로 지정돼 평가기관은 모두 여섯 개로 증가했다. 하지만 실제 평가인력은 크게 증가하지 않았고 충분한 경험을 갖춘 평가자도 부족해 적체 해소에는 큰 도움이 안될 것이라는 지적이 나왔다.

2일 보안업계 관계자는 “CC인증 평가기관이 늘어난 것에 비해 실제 평가를 진행할 수 있는 평가원은 증가하지 않았다. 적체 해소에는 영향을 주지 못할 것”이라며 “또한 평가기관과 신청업체간의 온도차가 줄어들지 않는 한 적체는 지속될 것으로 보인다”고 말했다.

특히 최근 CC인증 제도가 3년 갱신으로 바뀌었고, 의무 대상 솔루션이 28개로 증가하면서 평가인력의 수요는 더욱 높아지고 있다. 평가인력이 증가하지 않는 한 인증 평가 적체는 이어질 수 밖에 없다.

현재 6개 인증 평가기관에 소속된 평가원은 모두 55명으로 최근 몇 년동안 눈에 띄는 변화가 없는 상황이다. 신규 유입은 저조하고 수평이동이 잦기 때문이다.

한국산업기술원의 경우 평가인력 20명이 신규 평가기관이나 다른 평가기관으로 자리를 옮겼다. 하지만 이에 대한 충원은 아직도 이뤄지지 않고 있다. 보안업계 인증 담당자들이 ‘아랫돌 빼서 윗돌 괴기’라고 입을 모으는 이유도 여기에 있다.

국내 CC인증 평가 시장에 선임평가원(고급인력)이 많지 않다는 것도 보안업계의 불만사항이다. 국내 인증시장에서 활동 중인 선임평가원은 25명이다. 높은 등급(EAL)의 인증을 받기 위해서는 보다 많은 선임평가원을 필요로 하지만 인원이 한정돼 있어 대기가 길어지게 된다.

다른 업체 담당자는 “일부 평가원들은 경험이 부족한 탓에 현실에 대한 고민없이 이론만 강요하고 있다”고 지적하며 “관리적인 측면에서 풀 수 있는 보안 속성들을 기능 구현으로 해결하려는 것 역시 보안솔루션에 대한 이해와 경험의 부족에서 나오는 것 같다. 고급인력이 확보돼야 한다”고 강조했다.

이러한 보안업계의 고충을 해소하기 위해 국보연은 올해 말까지 모두 20명의 평가원을 추가로 확보할 계획이다. 우선 올해 말 선임평가원 승급 시험을 치러 약 10명의 선임평가원을 추가로 배출하기로 했다.

또 지난해부터 양성해온 수습평가원 10명이 올해 말 주임평가원으로 승급돼 활동을 시작할 예정이다. 아울러 평가원 양성 프로그램 시행으로 인한 주임평가원 10명이 올해 말 확보된다. 즉, 내년부터는 총 20명의 평가원이 추가된 75명이 활동하게 된다.

국보연 IT보안인증사무국 고위 관계자는 “평가기관 증가에 비해 평가인력이 늘어나지 않은 점은 사실”이라며 “현재 다양한 양성 프로그램으로 평가원을 확보하고 있다. 대학, 대학원, 평생교육원 등과 연계한 양성 프로그램을 진행하는 등 꾸준히 평가원을 양성할 것”이라고 말했다.

이어 “특히 선임평가원을 적극 양성해 평가 신청업체들이 만족할 수 있도록 노력할 것”이라며 “아울러 이달 중 CC인증 제도 개선을 통해 인증 평가기간을 최소 1개월 이상 줄일 수 있도록 하겠다”고 덧붙였다.

한편 현재 CC인증 평가기관은 한국시스템보증(KOSYAS), 한국산업기술시험원(KTL), 한국아이티평가원(KSEL), 한국정보통신기술협회(TTA), 한국인터넷진흥원(KISA), 한국정보보안기술원(KOIST) 등 여섯 개다.

환경마크시험, Q마크 인증을 맡아온 한국기계전기전자시험연구원(KTC)도 하반기 인증 평가기관 선정을 위해 준비하고 있다.

<이민형 기자>kiku@ddaily.co.kr