CC 평가기관 늘리면 적체 줄어들까

[김국배기자] 국제공통평가기준(CC) 인증 평가 적체에 대한 논란이 여전히 뜨겁다.

인증 적체 현상은 비단 어제 오늘의 일은 아니지만 올해 2월부터 3년마다 인증을 갱신해야 하는 유효기간 제도가 도입되면서 이에 따른 재평가 수요가 더해져 적체를 심화시킬 수 있다는 우려를 낳고 있다. 모바일단말관리(MDM), 소스코드 보안 취약성 분석도구(시큐어코딩) 등 CC 인증 의무 대상이 늘어난 것도 새롭게 추가된 것도 적체 현상을 가중시킬 수 있는 요소다.

실제로 보안업계 한 관계자는 "작년에 평가 신청을 했던 사안이 올해 진행되고 있는 상황"이라며 "올해 평가 신청에 대해 문의하면 '올해는 어렵다'는 답이 돌아오고 있다"고 말했다.

업계 일각에서는 한때 주기적인 CC 인증 제품 재심사에 들어가는 시간·비용·인력 부담과 적체 현상을 이유로 '사후인증제'를 도입해달라는 목소리가 불거지기도 했다.

CC 인증기관 역할을 대행하는 국정원 산하 국가보안기술연구소(이하 국보연)는 국가기관에 제품을 먼저 납품하고 나중에 인증을 받는 건 불가하다는 입장 아래 CC 평가기관 확대, 평가진행 상황 공개 등을 대안으로 고려하고 있다.

유넷시스템(대표 심종헌)에서 인증업무를 담당하고 있는 손민기 팀장은 "사후인증제는 불가한 분위기"라며 "다만 적체를 고려해 유예기간을 주는 식으로 융통성을 발휘해 시행하고 있다"고 말했다.

◆평가기관 확대보다 인력 양성 먼저

이런 가운데 정보보안 업계에서는 고질적인 적체 현상을 해소하기 위한 근본적인 해결책으로 전문 평가인력 양성이 시급하다는 목소리가 높다.

특히 단순히 평가기관을 늘리는 방법으로는 적체 현상을 해소시키는커녕 오히려 가중시킬 수 있다는 우려가 나온다. 평가 인력을 확보하지 못한 상태에서 평가기관만 새로 만드는 것은 기존 인력 간 이동을 불러일으킬 뿐이라는 지적이다.

실제로 2008년 평가 적체를 해소하기 위해 CC인증 평가기관을 기존 인터넷진흥원(KISA) 한 곳에서 다섯 곳으로 늘렸지만 적체현상은 여전히 나아지지 않았다. 한국정보보안기술원이 새로운 CC 평가기관 지정 신청을 준비하고 있는 것으로 알려지지만 적체 해소에 대한 기대가 크지 않은 이유다.

현재 CC인증 평가 기관은 KISA, 한국정보통신기술협회(TTA), 한국아이티평가원(KSEL), 한국산업기술시험원(KTL), 한국시스템보증 5곳이다.

한국CC사용자포럼(KCCUF) 준비위원장을 맡고 있는 SGA 임수진 이사는 "인력풀이 그대로인 상태에서는 평가기관이 늘어나도 평가자들이 '수평이동'을 하는 것일 뿐"이라며 "오히려 이 과정에서 인원이 빠져나간 기관과 새로 준비한 기관 모두 한동안 업무 소화력이 떨어질 수 있다"고 꼬집었다.

임 이사는 "실무 담당자들은 평가기관이 늘어나는 것에 감격하지 않는다"며 "현재 평가인력은 70명 가량에 불과하며 지금의 상황을 해결하기 위해서는 인력이 30~40%는 늘어야 할 것"이라고 말했다.

익명을 요구한 국보연 관계자도 "평가자 수가 모자란 게 문제"라며 "구조적으로 평가인증 시장 규모 자체가 작기 때문에 종사하려는 사람이 많이 없다"고 잘라 말했다.

◆영업 도구로 전락한 CC 인증

논란의 중심에 있는 CC 인증은 공공시장에 정보보호 제품을 공급하려면 반드시 받아야 하는 인증이다.

이 때문에 보안성 강화를 목적으로 한 CC 인증이 사실상 기업들의 '영업 도구'로 쓰이는 폐단이 없지 않다. 업체들에서 '적체 현상 때문에 영업을 못한다', '회사 문 닫게 할 셈이냐' 등의 단골 레퍼토리가 나오는 배경이기도 하다.

이는 결국 무분별한 인증 평가 수요를 늘려 '적체 현상'이라는 부메랑으로 돌아오고 있는 셈이다.

보안업계 한 관계자는 "CC 인증을 영업 포인트로 활용하다보니 인증을 받기 위해 (보안 규격이 없는 제품임에도) 약간의 보안 기능을 포함하는 일도 많았던 게 사실"이라며 "그런 것도 평가 적체를 만드는 원인 중 하나"라고 말했다.

임수진 이사는 기업들 스스로 인증 업무에 대한 투자와 준비를 강화할 것을 주문했다. 그는 "인력 양성은 장기적인 시간이 걸리는 일"이라며 "사설 평가기관에 고용계약형 평가인증담당자를 채용하는 것도 고려해볼만 하다"고 설명했다.