[단독]CC 인증 유효기간 확대…정보보호 기업 불만 속출
[단독]CC 인증 유효기간 확대…정보보호 기업 불만 속출
  • 박광하 기자
  • 승인 2021.05.01 21:49
  • 댓글 0
이 기사를 공유합니다

정보보호제품 공통평가 인증
유효기간 3년→5년 확대

시행 모르던 기업 혜택 배제
정부 조치 취하지 않아 피해

정부만 믿고 절차 진행 기업들
소급 적용 등 대안 마련 호소
국내용 CC 인증 마크.
국내용 CC 인증 마크.

[정보통신신문=박광하 기자]

정부가 정보보호제품 인증 유효기간 확대 등 제도 개선 활동을 펼치며 정보보호업계의 발전·육성을 꾀하고 있다. 그런데 정보보호 업계에서는 정부의 이 같은 노력에 대해 기업들의 다양한 의견이 충분히 반영되지 못했다는 비판이 나오고 있는 상황이다. 인증서 유효기간 확대 조치가 갑작스럽게 이뤄지는 바람에 기업들이 혼란을 겪었다는 게 주된 이유다. 문제를 제기한 기업들은 정부가 신뢰할 수 있고 예측 가능한 행정을 펼쳐야 한다고 지적했다.

 

■유효기간 확대 시행 두고 '잡음'

정보보호 기업들은 자사의 정보보호 제품을 정부, 지자체, 공공기관에 납품하기 위해 정보보호 제품 평가·인증 제도에서 지정한 국내용 공통평가기준(CC) 인증을 받아야 한다.

하지만 중소·신생 업체가 다수인 정보보호 기업들은 CC 인증에 대한 경험과 이해가 부족하고 평가항목 등의 복잡함 때문에 인증에 어려움을 호소하고 있다.

이에 정부는 지난 1월 국내용 CC 인증서 유효기간을 3년에서 5년으로 확대해 평가 부담을 덜어 주도록 했다.

또한, 국내용 CC 인증제품에 대해 '공개용 SW(오픈소스 55종) 보안 패치로 인한 기능변경'은 재평가가 아닌 변경승인 절차를 거칠 수 있도록 했다.

변경승인의 경우 재평가 절차보다 비용과 기간을 절약할 수 있는 것으로 알려져 있다.

과학기술정보통신부의 설명에 따르면, 정부는 지난해 6월께부터 시험평가기관 등을 통해 "국내용 CC 인증의 유효기간을 3년에서 5년으로 확대하는 등의 개선방안을 11월까지 마련할 것"이라고 밝혔다.

하지만 일정이 연기되면서 정부는 당초보다 2개월 늦은 지난 1월 7일에 이르러서야 개선안을 발표했다.

과기정통부는 관련 규정 개정이 완료된 이후인 5월께 유효기간 확대 조치를 할 예정이었지만, 정보보호 기업 다수의 요청에 따라 확대 조치를 1월 13일에 앞당겨 시행하게 됐다고 전했다.

하지만 일부 정보보호 기업들은 정부의 국내용 CC 인증 유효기간 확대 조치가 급작스럽게 이뤄지는 바람에 적절하게 대응할 수 없었다고 주장했다.

이견을 제기한 기업들은 "정부가 유효기간 확대 조치를 지난해 11월께 시행한다고 시험평가기관 등을 통해 들었다"며 "지난해 11월에 개선 제도가 시행됐더라면 우리도 유효기간이 5년인 인증서를 받을 수 있었을 것"이라며 안타까움을 토로했다.

IT보안인증사무국(ITSCC)을 통해 확인한 결과, 지난해 11~12월 동안 국내용 CC 인증을 받은 제품은 20여개에 이르는 것으로 조사됐다.

또한, 이의를 제기한 기업들은 정부가 유효기간 확대 조치를 소급 적용하지 않은 점에 대해서도 아쉽다는 반응이다.

이들은 국가정보원에서 운영하는 정보보호 제품 인증 제도인 '보안기능확인서'를 예로 들며, 국내용 CC 인증 제도 또한 소급 적용해 가능한 많은 기업이 유효기간 확대 혜택을 누릴 수 있도록 해야 한다고 의견을 냈다.

국정원은 지난 1월 1일을 기점으로 신규 발급하는 보안기능확인서의 유효기간을 최대 3년에서 5년으로 확대하고, 국가용 보안요구사항의 필수 항목을 만족하고 잔여 유효기간이 남은 보안기능확인서에 대해 유효기간을 발급일로부터 5년으로 연장한 바 있다.

이에 대해 과기정통부는 "보안기능확인서 제도와 국내용 CC 인증 제도를 동일 선상에서 비교하는 것은 곤란하다"며 "제도 개선에 앞서 정책적으로 판단한 결과 소급적용은 하지 않기로 했다"고 답변했다.

 

■까다로운 재평가에 기업들 곤란 호소

정보보호 기업들은 CC 인증의 재평가·변경승인 절차에 대해서도 불만을 쏟아냈다.

오픈소스 55종의 보안 패치로 인한 기능변경은 변경승인 절차를 거칠 수 있도록 하면서, 직접 프로그래밍한 소스 코드의 변경에 대해서는 재평가를 거치도록 했다는 것이다.

익명을 요구한 정보보호 제품 개발자는 "오픈소스든 직접 개발한 부분이든 취약점에 대한 보안 패치가 이뤄진 순간 형상 변경이 일어난 것은 마찬가지"라며 "하지만 과기정통부는 기업이 직접 개발한 부분에 대해서만 엄격하게 대하고 있다"고 말했다. 결국, 변경승인이 아닌 재평가를 신청할 경우 수천만원의 비용과 수개월 기간을 들여야만 하는 것이다.

이 밖에도, 과기정통부의 국내용 CC 인증에서 국정원의 보안기능확인서로 인증이 전환된 △소프트웨어 기반 보안 USB △가상화 관리 △네트워크 자료유출 방지 △호스트 자료유출 방지 △망간 자료전송 등의 제품들도 문제를 갖고 있다.

정보보호 기업들은 "이들 제품은 인증서 유효기간 만료일 기준 6개월 전부터 보안기능확인서 발급 심사가 가능한 것으로 알고 있다"며 "하지만 6개월이란 기간은 전환을 완료하기에는 너무 짧다"고 하소연하고 있다.

보안기능확인서 발급 심사가 6개월 이상 소요될 경우, 자칫 해당 제품은 '국내용 CC 인증'도 '보안기능확인서'도 없는 '미인증 제품'으로 전락할 우려가 있다는 것이다.

업계에 따르면, 보안기능확인서 발급 지연이 일어나 기업들이 곤란을 겪는 사례도 발생한 것으로 전해지고 있다.

문제 제보에 나선 기업들은 "보안기능확인서 발급을 신청할 수 있는 기간을 1년 이상으로 넉넉하게 제공하는 방법 등으로 지원책을 마련하는 게 필요하다"며 "정보보호 기업들이 사업을 영위하는 데 어려움을 겪지 않도록 정부가 정보보호인증 제도 운용에 최선을 다해주길 바란다"고 호소했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.