국내용 CC 인증, 약일까 독일까

[김국배기자] 국제공통평가기준(CC) 인증 제도가 보안 제품의 국제 경쟁력 강화라는 본래의 취지를 제대로 살리지 못한다는 지적이 잇따라 제기되고 있다.

특히 외국 보안 기업 사이에서는 CC 인증 제도가 국제용과 국내용으로 구분돼 활용되면서 사실상 한국 시장에 대한 진입장벽으로 작용하고 있다는 비판이 높다. 반면 국내 보안업체들은 그럴만한 나름의 이유가 있다는 입장이다.

한국인터넷진흥원(KISA)에 따르면 지난 2003년부터 지난 9월까지 국제용 CC 인증 획득 건수는 국내용 인증(366건)의 6분의 1수준인 65건에 불과하다. 2010년 24건, 2011년 3건, 12년 7건, 올해는 현재까지 4건으로 지난 몇 년간 한 자릿수를 벗어나지 못하고 있다.

◆외국 보안 기업 "국내용 CC 인증은 한국 시장의 벽"

국내용 CC인증은 외국 보안업체가 국내 공공시장에 제품을 공급하기 위한 필수조건으로 여겨진다. 그러나 국내용 CC 인증을 받기 위해 소스코드를 공개하는 탓에 외국 기업들은 이를 꺼리는 경향이 짙다.

이 때문에 국내용 CC 인증이 사실상 외국 보안 기업들에게는 진입 장벽으로 작용하고 있다는 목소리가 높다. 국제용 CC인증을 받은 제품을 공급하는 경우도 별도로 국정원의 보안적합성 검사를 받아야만 한다.

한 해외 보안업체 관계자는 "보안 적합성 검사는 제품을 공급하는 기업도 아닌 도입 기관이 신청해 받아야 하고 굉장히 번거롭고 비용까지 든다"며 "그러다보니 당사자들이 꺼려 검토 대상에서 해외 보안 제품은 제외되기 쉽다"고 말했다.

다른 외국 보안 기업 관계자도 "그렇다고 공공기관과 민간기업에 공급하는 제품이 다른 것도 아니다"라며 "서로가 방어막을 치는 것 뿐"이라고 언급했다.

그러다보니 국내 보안업체들이 국내용 CC인증 획득에만 매달려 해외로 나가지 못하고 '온실 속 화초'에 머문다는 비판도 나온다. 이 관계자는 "해외로 나가기 위해선 결국 국내용 CC 인증 말고 국제용 CC 인증을 이중으로 받아야 한다"고 꼬집었다.

◆국제용 CC 인증보다 기간 짧고 비용 저렴해

반면 국내 보안업체들도 할 얘기는 있다.

국내용 CC인증의 경우 국제용보다 평가기간이 짧고 비용이 저렴하다.

국내 보안업체 관계자는 "국제용 평가를 받기 위해 수수료만 1억이 넘는 비용이 투자돼야 하는데 그렇다고 별도의 정부 지원이 있는 것도 아니기 때문에 수출하지 않는 기업은 굳이 국제용을 받을 이유가 없다"고 설명했다.

게다가 주요 수출국에서 CC 인증 자체를 요청하고 있지 않아 충분한 유인이 되지 못하고 있다. 국내용 CC 인증만으로도 국내 보안업체들의 주요 목표 시장인 국내 시장에 접근하는 데 큰 무리가 없는 것이다. 일본의 경우만 해도 CC 인증을 요구하지 않고 있다.

이 관계자는 "국내의 많은 중소 보안업체들은 우선 제품을 출시해 국내 시장에서 성공적인 성과를 얻은 후에야 해외로 수출할 수 있다"며 국제용 CC 인증이 해외 경쟁력과 직결되는 것은 아니라고 설명했다.

다른 보안업체 관계자도 "장기적으로는 국제 CC 인증도 준비하고 있다"면서도 "굳이 해외 시장을 고려해 까다로운 국제 인증을 획득할 정도로 해외 진출이 활성화된 업체가 많지 않다"고 설명했다.

◆국제용 CC 인증 도입 전으로 회귀…신규 시장 창출도 놓쳐

이같은 입장차를 뒤로 하더라도 국내용 CC 인증에 대한 비판은 남는다. 원래의 목적인 인증 평가 적체를 해소하는 데 일정 부분 일조한 것은 사실이나 결국에는 국제용 CC인증 제도를 도입하기 전으로 모든 상황이 회귀한 것이 아니냐는 지적이다.

애초 국내용 CC인증은 인증 평가 적체 현상을 해소하기 위해 2008년 4월 도입됐다. 이후 한국인터넷진흥원(KISA)을 비롯한 한국산업기술시험원(KTL), 한국시스템보증(KOSYAS), 한국정보통신기술협(TTA), 한국아이티평가원(KSEL)의 5개 평가기관으로 숫자는 늘었다.

김승주 고려대 사이버국방학과 교수는 "당시 우리나라도 세계적 수준에 맞는 보안 제품들이 나와야 한다는 목적에서 CC 인증을 추진했지만 평가에 걸리는 시간이 길어지자 업체들의 불평이 나오기 시작했고 이러한 적체 현상을 해소하기 위해 국내용 CC가 나온 것"이라고 설명했다.

특히 국내 업체들이 국제용 CC인증보다는 국내용 CC인증 위주로 제도를 활용하자 국제용 CC와 관련한 기술을 확보할 필요가 줄어 들면서 평가 기술력을 확보하고 새로운 시장을 창출할 수 있는 기회도 잃어버렸다는 비판이 고개를 든다.

이에 대해 김승주 교수는 인도를 예로 들며"올해 9월 CC 인증 수용국에서 발행국으로 지위가 격상되면서 저렴한 인건비와 소프트웨어 기술력을 바탕으로 앞으로 보안 제품에 대한 테스트베드 시장으로 급성장할 것이란 분석이 나온다"며 "우리는 CC 제품 평가는 과거로 회귀하고 인도처럼 새로운 시장을 창출할 기회도 스스로 차버린 셈"이라고 지적했다.

한편, 우리나라는 2006년 국제상호인정협정(CCRA)에 가입했다. 국제 공통평가기준(CC) 인증을 획득한 기업이라면 어느 나라에서도 품질을 인정한다는 뜻이다. 해외 기업의 국내 수출 시에도 마찬가지다.