[디지털데일리 이종현기자] 오랜 기간 정보보호 산업계의 민원 대상이던 공통평가기준(CC) 인증이 완화된다.
과학기술정보통신부(이하 과기정통부)는 지난 7일 2021년 CC인증 완화 계획을 밝혔다. 재평가 기준을 낮추고 CC인증에 필요한 비용, 기간도 줄인다. 보안 스타트업을 위한 CC인증 교육 및 컨설팅도 제공한다는 계획이다.
CC인증은 정보보호 제품의 보안성을 평가한 뒤 인증을 부여하는 제도다. 2002년 도입된 이 제도는 민간업체가 개발한 제품의 신뢰성을 보증해 사용자들이 안심하고 제품을 사용하기 위해 마련됐다. 특히 대형 글로벌 보안기업들과의 경쟁에서 국내 보안기업을 보호하는 역할도 수행했다.
하지만 공공기관에 제품을 납품하기 위해서는 CC인증이 강제되는 관행 때문에 내용이 변질됐다. CC인증을 받지 않아도 되는 제품들도 공공기관 납품을 위해 CC인증을 받게 됐다. 이처럼 수요가 몰림에 따라 평가 시간도 지연됐다. 2020년 한해 동안 CC인증을 획득한 것은 84개 제품에 그쳤다. 여전히 많은 제품이 대기순번을 기다리고 있다. CC인증을 받으려면 1년은 기다려야 하는 상황에 이른 것.
이는 많은 문제를 낳는다. 요즘처럼 기술이 빠르게 발전하는 상황에서 1년이라는 시간은 결코 짧지 않다. 1년 사이에도 많은 변화가 있고, 이런 변화에 따라 제품의 업데이트도 이뤄져야 한다. 하지만 현행 제도에서는 제품의 일부 기능만 변경하더라도 CC인증을 다시 받아야 한다. 악순환의 연속이다.
국내 보안업체 중 한 곳은 지난해 제품 개발을 완료해 CC인증 평가를 신청했으나 평가가 지연됨에 따라 본래 계획했던 목표를 달성하지 못했다고 토로했다.
보안 스타트업의 경우 문제가 더 심각하다. 한 보안 스타트업 대표는 “기업을 운영하려면 수익이 나와야 하는데, 수익을 내려면 CC인증이 필요하다. 그런데 CC인증을 받으려면 1억원가량의 돈과 1년 이상의 시간이 필요하다고 한다. 스타트업에 그런 돈이 어딨나. 또 1년이나 수익을 내지 못하고 기다리면 직원 월급은 어떻게 주고. 사업을 하지 말란 소리”라며 현행 제도의 문제점을 비판했다.
이와 같은 업계의 민원에 과기정통부는 CC인증 제도를 대폭 완화한다.
우선 보안패치 등으로 인한 기능 변경은 재평가 대신 간단한 확인(변경승인)으로 대체할 수 있게 됐다. 이와 함께 국내용 CC인증서의 유효 기간을 3년에서 5년으로 확대했다. 과도하게 집중됐던 CC인증 수요가 일부 완화될 것으로 기대된다.
또 과기정통부는 기존 CC인증 평가에 필요한 비용 및 기간도 줄인다는 계획이다. 기존 약 3000만원가량 요구됐던 것에서 500만원으로, 기간은 9개월에서 3주로 줄인다. 보안 스타트업을 위한 지원도 이뤄진다. CC인증제도에 대한 기본교육과 인증 컨설팅 서비스를 제공하고 기업이 자발적으로 보안 취약점을 점검할 수 있도록 소스코드 자가진단 소프트웨어(SW)를 지원한다는 방침이다.
CC인증의 문제점이 완전히 해소된 것은 아니다. 현재 CC인증은 침입차단시스템(FW), 침입방지시스템(IPS) 등 총 23종이 발급 대상이다. 23종에 속하지 않는 경우 CC인증을 받고 싶어도 받지 못한다. CC인증을 요구하는 공공기관의 관행과 상호작용하면서 새로운 기술이 적용된 제품은 못 만든다는 것이 업계 관계자의 설명이다.
과기정통부 역시 이와 같은 문제점을 인지하고 있다. 과기정통부는 CC인증이 요구되지 않는 제품임에도 CC인증을 요구하는 관행을 개선할 예정이다. 또 국가정보원과 협의해 보안 신기술을 위한 후속 조치도 검토 중이라고 전했다.
보안업계 관계자는 “CC인증 개선은 보안업계의 오랜 숙원이었다”며 “완벽한 개선이라고 말하기는 어렵다. 하지만 첫술에 배부를 순 없지 않나. 과기정통부가 산업계 현장의 목소리를 많이 청취하고 있는 것으로 안다. 앞으로 더 합리적인 제도가 되도록 힘 써주길 바란다”고 말했다.