한 VPN 장비 업체의 사장은 VPN CC인증 획득과 관련, 절차 및 비용에 대해 볼멘소리를 했다. 금융권·공공기관 시장 진출을 위해서 반드시 필요하다고 할 수 있는 CC인증이 자금 규모가 작은 벤처기업으로서는 너무나 큰 '진입장벽'이라는 것이다.
CC인증은 정보보호시스템에 대한 국제공통평가기준으로 국내에서는 지난 2002년 8월 5일 정보통신부의 '정보보호시스템 평가ㆍ인증지침 개정'의 고시에 따른 정식 평가기준으로 자리잡게 됐다. 특히 국내 시장에서 가장 규모가 큰 시장인 금융권·공공기관에서는 CC인증을 대부분 요구하고 있어 'CC인증이 곧 경쟁력'이라고 해도 과언이 아니다.
현재 퓨쳐시스템, 어울림정보기술 등 국내 선발 업체만이 CC인증을 획득했으며 인프니스, 넥스지, 시그엔 등 후발업체들이 CC인증 획득에 안간힘을 쓰고 있다.
후발 VPN 장비 업체 관계자는 "CC인증이 없어 금융권·공공기관을 제외한 나머지 시장에서 매출을 기대할 수 밖에 없는 처지"며 "CC인증 획득을 위해 인력을 대거 투입하는 등 동분서주하고 있지만 절차, 비용, 기간 등 걸림돌이 많아 이만저만 고생하고 있는 것이 아니다"라고 토로했다.
CC인증을 평가하는 한국정보보호진흥원(KISA)은 현재 평가1팀과 평가2팀을 두고 CC인증을 심사하고 있다. 평가1팀의 경우 방화벽, 지문인식시스템 등을 심사하고 평가2팀은 IDS(침입탐지시스템)와 VPN을 담당한다. 그러나 팀당 한번에 5개 제품만을 진행할 수 밖에 없고 그 기간이 보통 6개월 가량 소요돼 그 기간에 대기업체들은 평가가 마무리되기를 기다릴 수 밖에 없는 상황이다.
또한 평가비용으로 2000만원 정도가 들어가고 준비하는 문서가 1만 페이지를 훌쩍 넘어간다.
이 때문에 VPN 장비 업체는 CC인증 전담 인력을 두고 수개월 이상 준비를 하게 된다. 5~6명의 전담반을 구성하고 CC인증 획득을 준비하는 업체도 있다.
업계 관계자는 "CC인증을 따려면 적게는 수억원에서 많게는 10억원 이상이 들어간다"며 "이는 연매출액이 100억원 미만인 국내 업체가 대부분인 현실에서 상당한 애로사항"이라고 말했다. 특히 "CC인증이 제품의 성능을 평가하는 것도 아닌데도 오랜기간이 소요되고 있어 그에 따른 손실이 너무 크다"고 덧붙였다.
이에 대해 KISA는 계약에 따른 업체의 준비가 미비해서 장시간이 소요되고 평가금액도 정부 고시에 따른다고 설명했다. 즉 계약체결에 앞서 업체들이 기본설계서, 상세설계서 등을 준비하고 보완하는 시간이 오래 걸릴 뿐 계약체결이 되면 6개월 정도에 평가를 마칠 수 있다는 것이다.
KISA의 이완석 평가2팀장은 "현재의 경우 계약을 체결한 업체가 없어 계약만 체결한다면 즉시 평가를 시작할 수 있고 1팀과 2팀이 유연하게 업무를 처리하고 있다"며 "업체의 준비가 잘 이뤄져 있다면 CC인증에 따른 기간을 충분히 줄일 수 있을 것"이라고 말했다.
저작권자 © 정보통신신문 무단전재 및 재배포 금지