2년 간 국제용 CC인증 10건도 채 못 미쳐...일원화 논의 진행 기존 CC인증제도 개선으로 국내 경쟁력 강화 및 해외시장 확대
미래부, 평가기관·인증기관·보안업체와 협의중...내달 중순 발표 
[보안뉴스 김태형] 최근 국제공통평가기준(CC) 인증 업무가 국가정보원에서 미래창조과학부로 이관됐다. 그러나 인증사무국은 당분간 국가보안기술연구소 IT보안인증사무국으로 유지된다.

         이번 CC인증 업무의 미래부 이관은 국내용 CC인증은 물론 국제용 CC인증도 모두 포함됐다. 미래부는 정보보호를 새로운 성장산업으로 선정하고 육성할 계획으로, 향후 정보보호시스템 평가·인증 제도인 CC인증을 규제가 아닌 육성에 초점을 맞추고 진행해 나갈 방침이다.

CC인증은 CCRA(국제상호인정협정Common Criteria-Recognition Arrangement)에 의해 가입국 중 어느 한 국가의 평가기준에 의해 인증된 제품 인증서는 다른 국가에서도 별도의 인증절차 없이 동일한 효력을 발휘할 수 있다.

우리나라는 지난 2006년 CCRA에 회원국이 되어 국제 수준에 맞는 평가인증 제도를 유지하며 인증서를 발행하고 있다. CCRA 회원국 가입 취지는 국제 표준에 맞는 보안제품 개발 및 기술력 향상과 해외시장에서의 경쟁력을 확보해 산업 활성화를 꾀한다는 것이었다.

하지만 국내 보안업체 중에서 국제 CC인증을 받은 제품이 매우 드물다. 최근 2년간 국제 CC인증보다 국내 CC인증 획득 건수가 전체 인증 건수의 약 90%에 달하는 등 국내용 CC인증이 대부분이었다. 2년간 국제용 CC인증을 받은 제품은 10건이 넘지 않는다.

특히 국내용 CC인증제도는 우수한 해외 보안제품에 대한 진입장벽으로 작용해 국내 보안업체들이 국내 시장에 안주해 기술개발이나 해외시장 진출에는 안일하게 대응하게 된 요인이 됐다는 평가도 나온다.

이에 대해 한 평가기관 관계자는 “국내용 CC인증 제도가 우수한 해외제품의 진입 장벽 역할을 한 것은 사실이다. 국내 보안업체들이 국내 CC인증 획득으로 국내 시장에만 안주하고 기술개발 등은 외면했기 때문에 기술력 차이도 많이 난다. 이에 해외시장 진출은 더더욱 엄두를 못 내고 있는 것”이라고 꼬집었다.

또한, 보안업계 관계자는 “국내용 CC인증 획득이 비용, 시간 등 여러 가지 측면에서 효율적이다. 특히 국내 정부기관의 조달사업을 위해서는 CC인증이 꼭 필요한데, 국제용보다는 국내용 인증이 여러모로 취득하기 쉽다”고 말했다.

이러한 결과는 CCRA 가입 당시 본래의 취지에 맞지 않다. 이에 대해 미래부의 한 관계자는 “국제용 CC인증보다 국내용 CC인증이 많은 이유는 국내 보안기업들이 대부분 영세하다 보니 비용이 많이 들고 국내 사업만 하기 때문에 필요성이 없다고 생각했기 때문”이라고 말했다.

또한 그는 “CC인증 관련 업무가 지난 10월 1일 미래부로 이관됐고 그동안 기존 국내 CC인증 제도에 대한 여러 가지 문제점이 지적됐다. 현재 산업 육성과 함께 글로벌 시장에서도 경쟁력을 갖출 수 있는 다각도의 방안을 모색하고 있다”고 덧붙였다.

미래부 관계자는 “평가기관과 인증기관 관계자들과 CC인증제도 개선방향에 대한 논의 중이며 다음주 중에는 보안업체들과의 논의를 거쳐 다음달 중순에 구체적인 결과를 발표할 계획”이라고 밝혔다.  

이 관계자는 “기존 CC인증제도의 여러 가지 문제점을 개선하기 위해서는 단계적으로 국제용으로 확대해야 하지 않겠느냐”면서도 “정보보호산업 육성 및 관련 기술 개발을 통해 해외 시장경쟁력을 갖추기 위해서는 변화가 필요하다. 관련 기관 및 업계의 다양한 의견을 수렴해 CC인증제도 개선방향을 확정할 방침”이라고 강조했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>