• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안인증-1] 보안업계, “CC인증에 맞물린 GS인증은 이중부담!” 2009.07.03

인증제도 관련 부처·기관  등 협의 없이 개별적 정책 발표가 원인


지난 5월, 국가정보원 IT보안인증사무국이 ‘국가·공공기관 정보보호제품 도입기준 및 절차’를 발표함에 따라 공공부처·기관뿐 아니라 보안업계에서도 이에 따른 분주한 움직임을 보였으며 그러한 움직임은 현재까지도 진행 중에 있다. 이에 정보보호와 관련한 국내 정보보안인증제도 등이 현재 어떻게 진행되고 있으며, 그에 따른 문제는 없는지 등에 대해 살펴보도록 한다.


<순서>

1. GS인증

2. 국제공통평가기준 CC평가·인증

3. 검증필 암호모듈

4. 국가용 암호제품 지정제도


국정원 IT보안인증사무국은 올해 6월 1일부로 시행된 ‘CC인증제품 일원화’ 및 ‘검증필 제품목록 폐지’와 관련한 국가·공공기관의 정보보호제품 도입기준을 지난 5월 21일 공지한 바 있다. 이 도입기준은 정보보호제품의 국가·공공기관 도입기준을 명확히 하는 한편 경제활성화를 위해 정보보호업계의 부담을 완화한다는 취지에서 마련됐다.


하지만 ‘CC인증제품 일원화’ 시행 후 한달여가 지난 지금 소비자와 기업이 우수한 SW제품을 보다 잘 믿고 쓸 수 있도록, 일련의 시험 테스트과정을 거쳐 일정한 수준의 품질을 갖춘 SW제품에게 국가(지식경제부)가 부여하는 인증제도인 ‘GS인증제도’가 맞물리면서 보안업계에서는 오히려 부담이 증가됐다는 목소리가 높다.


조달청, ‘MAS 일원화가 원칙’ 하지만 수의계약도 가능...단, GS인증이 조건

조달청은 지난 5월 28일, ‘2009년 GS S/W 구매’라는 주제로 SW업체들을 대상으로 한 업무설명회를 개최한 바 있다. 이날 조달청은 구매계약 과정을 설명하고, 계약 관련 주요내용 및 제출서류 등을 설명했는데, 향후 계약체결에 있어 다수자공급자계약인 MAS제도에 대한 일원화 원칙을 밝힌 것이다.


특히 이날 설명회에서 ‘SW단가계약 품목선정 루트’에 있어 기존에는 CC인증을 득한 제품에 대해서는 수의계약이 이루어졌던 것에 조달청은 GS인증만을 득한 SW에 대해서만 수의계약을 체결할 수 있다고 발표한 것.


이와 관련 이날 조달청 측은 “다수자공급자계약제도는 기존의 최저가 1인 낙찰자 선정방식(수의계약)으로는 다양성 부족과 품질 저하의 문제점이 지속적으로 지적됨에 따라 다수의 공급자를 선정해 선의의 가격·품질경쟁을 유도하는 동시에 수요기관의 선택권을 제고하는 제도”라며 “정보통신기술의 발전 및 인터넷 확산에 따른 전자상거래 시대에 적합해 이미 미국·캐나다 등에서 널리 활용되고 있는 제도”라고 설명했다.


하지만 보안업체들의 이에 대한 불만이 적잖은 것에 대해 조달청 관계자는 “다수자공급자계약제도에 대한 일원화 원칙을 가지고 있다. 하지만 업체들이 이 제도에 따라 움직여 보지도 않고 두려움을 가지고 있는 것 같다”며 “조달청은 일원화 원칙을 고수하지만 GS인증을 획득하고 수의계약을 원한다면 그렇게 해 줄 것인 만큼 이 제도가 정착되려면 상당한 기간이 필요할 것 같다”고 밝혔다.


개별적으론 좋은 정책, 하지만 협의 없이 맞물리니 이중부담

반면 보안업체 한 관계자는 “국정원이나 조달청은 단순히 정책만 발표하고, 사후에는 지침이나 규정에 대한 명확한 부분을 밝히지 않아 혼란스럽다”며 “사할을 걸고 진행하고 있는 업체에게 있어 두루뭉술한 이러한 정책적 혼란은, 되면 되고 안되면 안되는 그런 성질의 것이 아니다. 공공기관 납품을 사활로 하고 있는 보안업체에게 있어 안된다면 그 기업은 망할 수 있는 문제”라고 하소연했다.


또한 그는 “조달청이 수의계약의 조건이 GS인증만이라고 한다면 업체는 이를 따를 수밖에 없는 것”이라며 “하지만 그로 인해 CC인증을 득한 업체는 다시금 GS인증을 득하기 위해 많은 비용·시간을 투자해야 하는 이중부담이 된다”고 덧붙였다.


즉 그는 국정원이 공공기관에 납품되는 정보보호제품에 대한 도입기준을 명확히 하는 한편 경제활성화를 위해 정보보호업계의 부담을 완화한다는 취지에서 ‘CC인증제품 일원화’ 등의 내용을 담은 ‘국가·공공기관 정보보호제품 도입기준 및 절차’를 마련했지만 막상 국정원이 관여하지 않고 있는 GS인증제도와 맞물리면서 각 부처 및 기관 간 협의 등이 제대로 이루어지지 않은 상태에서 개별적으로 진행돼 업계에 더한 혼선을 야기시켰다는 덧붙여 설명했다.


이에 한 업계 관계자는 “국정원의 도입기준이나 조달청 등의 정책은 수요기관인 공공기관에도, 수요처인 업체에도 좋은 정책”이라고 말한 뒤 “하지만 서로 간 협의가 이루어지지 않아 업체에 부담이 발생하는 현시점에서 그에 따른 사후 지침이나 규정을 명확히 해 이러한 업체의 혼란을 막아주기를 바란다”고 말했다.


한편 국내 GS인증·평가기관은 한국정보통신기술협회(TTA)와 한국산업기술시험원(KTL)이 있다. 그리고 이중 TTA 집계에 따르면, 2009년 상반기 GS 시험 인증 건수는 총 382건이었고, 이중 114건이 인증을 획득했다. 또한 GS인증 컨설팅 건수는 총 522건으로 나타났다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>