[디지털데일리 이민형기자] 국제공통평가기준(CC) 인증 업무의 새로운 수행 기관에 대한 보안업계의 관심이 집중되고 있다. 현재 물망에 오르고 있는 기관은 미래창조과학부 산하 한국인터넷진흥원(KISA)과 한국정보통신진흥협회(TTA)로 꼽히고 있다.

강성주 미래창조과학부 정보화전략국장은 “미래부는 정보보호를 새로운 먹을거리 산업으로 선정하고 육성할 계획”이라며 “CC인증 업무 이관으로 정보보호산업 육성에 이바지할 것”이라고 밝혔다.

국내 CC인증은 정보보호시스템 평가·인증 제도로 불린다. 이는 민간업체가 개발한 정보보호제품에 구현된 보안기능의 안전성과 신뢰성을 국가가 보증하는 제도로 국가정보화기본법 제38조에 근거를 두고 있다.

국가정보원은 지난 1998년 이 제도(K4 인증)를 시행한 이후 2002년 CC인증으로 전환해 운영하고 있으며, 2012년에는 한국전자통신연구원 부설 국가보안기술연구소로 인증업무을 위임한 바 있다.

CC인증에 대한 실질적인 업무는 국가보안기술연구소 내 IT보안인증사무국에서 수행하고 있다. 미래부는 IT보안인증사무국이 수행하는 CC인증 업무를 그대로 가져온다는 계획이다.

강 국장은 “현재 IT보안인증사무국이 수행하고 있는 역할은 앞으로도 필요하며, 이를 어떤 기관에 맡길지는 고민이 필요하다”고 설명했다.

미래부가 CC인증 업무 이관에 있어 가장 걱정하는 부분은 바로 인력이다. IT보안인증사무국을 통째로 미래부 산하로 옮기면 일이 쉽게 해결되지만, IT보안인증사무국의 인력들은 국가보안기술연구소 소속이기 때문에 이동이 사실상 불가능하다.

국보연 고위 관계자는 “미래부는 CC인증 업무만이다. 인력에 대한 부분은 미래부가 스스로 해결해야 할 것”이라고 전했다.

상황이 이렇다보니 미래부의 선택지는 많지 않다. 기존에 인증 업무를 수행해오던 KISA와 TTA에 CC인증 업무를 수행토록 넘겨주거나, 새로운 인력 육성을 통해 독립적인 기관을 운영하는 것이다.

후자의 경우 비용과 시간이 많이 소요된다는 점에서 가능성이 낮다. 현실적으로는 KISA나 TTA에 인증 업무를 넘기는 것이 가장 효율적이다.

KISA와 TTA는 현재도 CC인증 평가 업무를 수행하고 있기 때문에 인력에 대한 문제도 해소할 수 있다. 특히 TTA의 경우 국내 CC인증 평가기관 중 가장 많은 인력을 보유하고 있다.

이와 관련 김승주 고려대 정보보호대학원 교수는 “CC인증 업무 이관을 가장 빠르게 하는 방법은 KISA나 TTA로 넘겨주는 것”이라며 “하지만 KISA보다는 TTA가 더 적합할 수 있다. 우선 평가 인력이 많으며, 암호모듈인증(CMVP) 시험기관으로 지정될 경우 해외시장을 노리는 보안업체들에게 ‘원스톱 인증 서비스’를 제공할 수 있어 유리하다”고 설명했다.

현재 CMVP 시험, 검증하는 국내 기관이 없어 해외진출에 나서는 보안업체들은 일본이나 유럽, 북미에서 인증을 획득하고 있는 상황이다. CMVP 시험기관을 준비하고 있는 TTA가 CC인증 업무까지 넘겨 받으면 CC인증에서부터 CMVP 시험까지 한번에 획득이 가능해져 보다 긴밀하게 해외시장에 대응할 수 있다.

CC인증 업무를 이관하기 전 풀어야 할 다른 문제도 있다. CCRA에서는 CC인증 평가와 심사는 한 기관에서 할 수 없도록 규정하고 있다. KISA나 TTA가 CC인증 심사기관으로 될 경우 기존 CC인증 평가업무는 할 수 없다.

한편 CC인증 업무는 넘겨받을 기관이 지정되기 전까지 IT보안인증사무국에서 수행하게 되며, 그 기간은 약 1년정도 소요될 것으로 예측된다.

<이민형 기자>kiku@ddaily.co.kr