한국정보보호산업협회는 일본 정보보호시장 규모를 한국의 10배 규모로, 그리고 일본시장의 4배 규모가 중국 정보보호시장으로 파악하고 있다. 명확하게 추산규모를 파악할 수는 없지만 중국의 정보보호시장은 가히 국내 시장과는 비교가 되지 않는 엄청난 규모임을 짐작할 수 있다. 우리 정부 역시 중국과의 양자 협의 등 모든 수단을 동원해 우리기업의 중국기술규제 극복을 지원하는 중이라는 점에서 향후 대 중국 정보보호시장 진출은 보안업계가 풀어가야 할 숙제인 셈이다.

그런 점에서 대 중국 수출에 있어 우선 선결돼야 할 것은 중국 측의 주요 규제에 대한 파악일 것이다. 지난 1일 코엑스에서 지식경제부 기술표준원 주최로 개최된 ‘중국강제인증제도 설명회’에 주목하게 되는 이유다. 특히 이날 설명회에서는 중국강제인증제도(CCC) 개요, CCC제도의 발전방향, 정보보안기기 인증제도(ISCCC) 및 정보보안시스템인증시스템 등이 소개됐다.

이날 발표된 내용을 살펴보면, 현재 중국은 대표적인 강제인증제도로 CCC(China Compulsory Certification)인증제도를 운영하며, CCC인증제도는 정부 당국인 중국국가인증인가감독관리국 CNCA(Certification and Accreditation Administration of the People’s Republic China)가 인증정책 총괄을 담당하고, 인증기관으로 중국품질인증센터 CCIC(China Certification & Inspection Group Co., Ltd)를 운영하고 있다.

중국 내 생산·유통 및 수입품에 대해 중국국가표준에 따라 안전 및 품질인증을 받아야만 중국내 판매가 가능한데, 인증대상 품목은 23개 항목 172종이다.

이에 이날 설명회에 참석한 국내의 한 보안인증기관 관계자는 “금일 설명회를 통해 중국 측은 정부조달에 한정된 정보보호제품에 대해 설명하고, 민간 쪽 수출부분에는 영향을 받지 않는다고 했지만 모호한 것이 사실이다. 하지만 시행이 내년 5월 1일부터 되는 만큼 1년 내에는 크게 우려되는 사항은 없을 것 같다”고 말했다.

또한 역시 이날 참석한 보안업체 관계자는 “중국 보안인증 절차 및 규정 등 정확한 정보를 얻는 것이 무엇보다 중요한데 현지에 있지 않으면 정보를 얻기가 힘든 것이 사실”이라고 말하고 “판매대상이 조달이 아닐 수도 있기 때문에 정부조달에만 해당하는 CCC인증을 득해야 하는지에 대해서도 현시점에서는 확정을 지을 수 없는 것 같다. 대부분의 한국기업들은 이러한 중국의 정책적인 부분의 혼선이 중국진출을 망설이게 하는 한 요인”이라고 지적했다.

중국진출 위해선 국내기업, CC인증과 CCC인증 득해야 하는 이중부담 있어

1998년 2월부터 정보보호제품 평가·인증제도를 시행하고 있으며, 2002년부터 국제공통평가기준(CC)에 따라 정보보호제품을 평가·인증하고 있는 우리나라는 2006년 5월에 국제상호인정협정(CCRA) 가입국으로 가입해 국제수준에 맞는 평가·인증제도를 운영하고 있다. 정보보호제품에 구현된 보안기능의 안전성과 신뢰성을 국가차원에서 보증해야 사용자들이 안심하고 제품을 사용할 수 있도록 지원하는 제도라고는 하지만 무엇보다 비용·시간 측면에서 부담이 되는 것이 사실이다.

그런 측면에서 중국은 CCRA 가입국인 아닌 만큼 CC인증을 인정하지 않아 중국진출을 위해서는 반드시 CCC인증을 득해야 하기 때문에 보안업체로서는 이중부담이 될 수 있다.

이에 중국 측 관계자는 “CC인증을 받았더라도 중국에서는 민간차원에서는 사후 인증이 가능할지 몰라도 정부조달 측면에서는 국가표준과 부합되지 못한다는 점에서 어려운 상황”이라며 “중국 당국 입장에서도 CC인증을 참고는 하고 있지만 협의된 부분이 없어 정부조달품목으로 받지는 않고 있으며 이를 받아들일 수 있는 상태는 아니다”며 중국 진입을 위해서는 CC인증은 무관하게 CCC인증을 득해야 함을 분명히 했다.

“중국, 국내에 정보보호제품 평가기관 지정해 줘야”

정보보호인증의 이중부담과 관련해 중국 측 관계자는 “이를 해결하기 위해 적극적으로 중국 정부와 해외 관련 부처·기관 간의 상호 인증할 수 있는 매커니즘 구축을 통해 점진적으로 현지에서도 인증 받을 수 있도록 하는 방안을 모색하고 있지만 확정된 바는 없다”고 밝히고 “2일 개최하는 제6차 적합성평가소위원회 회의를 통해 이 부분에 대한 집중적인 논의를 펼칠 것”이라고 밝혔다.

이에 백의선 KISIA 부회장은 “이러한 문제를 해결하기 위한 방법 중 하나는 중국이 한국 내에 평가기관을 지정하는 것”이라며 “이를 위해 부분적으로 중국 측에 지속적으로 요구를 해왔으며, 금번 적합성평가소위원회에서 이와 관련해 공식적으로 논의를 펼칠 것으로 예상된다”고 밝혀 이번 회의 결과에 귀추가 주목된다.

한편 ‘중국강제인증제도 설명회’에서 중국 측 관계자는 “중국에 수출을 하고자 한다면, 인증대상인 172가지 제품에 대해 수출하고자 하는 해당 제품이 CCC리스트에 포함돼 있는지를 확인하는 것이 필요하다”고 말하고 “중국 정보보호제품 인증기관 11개 기관은 명확한 업무범위가 나누어져 있어 싸이트를 통해 해당 제품이 어떤 기관에 해당하는 지를 파악하고, 그 인증기관을 선택해 문의 등을 통해 인증을 획득하는 것이 효율적”이라고 안내했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>