• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국제용 CC인증 활성화 위한 개선방안 필요 2012.01.09

정보보안업체, 2010년 이후엔 국제용 CC인증 소홀   

IT보안인증사무국, CC인증과 관련 보다 적극적 역할 기대  


[보안뉴스 김정완] 지난 1월 4일자로 4개 보안제품이 공통평가기준(Common Criteria)인 CC인증을 취득한 가운데 2012년에도 CC인증에 대한 수요는 여전히 지속될 것으로 예상된다.


CC인증 제도는 민간업체가 개발한 보안제품에 구현된 보안기능의 안전성·신뢰성을 보증해 사용자들이 안심하고 제품을 사용할 수 있도록 법령에 근거해 추진하고 있는 것으로, CC인증 제품의 수출확대를 위해서는 국제인증에도 좀더 신경을 써야 한다는 지적이 나오고 있다.


우리나라는 지난 2006년 5월 국제상호인정협정(CCRA)에 인증서 발행국(CAP)으로 가입한 상태로 국제 수준에 맞는 평가·인증제도를 운영하고 있지만, 국제인증과 관련해서는 아직 미흡한 상황이다.  

 

국내용 CC인증에 치중...국제용 CC인증 14%에 머물러

CCRA 가입의 이유는 글로벌 보안제품 출시를 장려해 국제경쟁력을 키우는데 있다. 하지만 현재 국내 보안업체들은 국내용 CC인증 획득에 치중하고 있어 CCRA 취지가 많이 퇴색된 상태다.  


2012년 1일 4일 현재 총 326개 제품이 CC인증을 확득한 상황이며, 이중 국제용 CC인증제품은 48개로 14%에 머물고 있다. 특히, 국제용 CC인증제품 48개 중 전자여권, IC칩, 디지털복합기, 스마트카드 운영체제 등 23개 제품은 대기업들이 개발·출시해 애초에 국내시장이 아닌 해외시장을 타깃으로 한 보안제품이다. 이를 제외하면 국제용 CC인증제품은 25개로, 이는 총 303개 제품 중 8%에 불과한 실정이다.


또한, 웹방화벽, VPN, 접근통제 시스템, FW, IPS, 바이러스 백신 등의 제품군으로 국제용 CC인증을 받은 25개 제품은 인증 이후에도 국제경쟁력을 키우지 못하고, 주로 국내 공공시장에 납품되고 있는 상황이다.


이와 관련 보안업계의 한 관계자는 “인증 제도의 운영상에 많은 우여곡절이 있었던 것은 차치하고라도 실제 CC인증이 정보보안 제품의 보안성을 향상시키는 데 있어 기대만큼 아쉬움도 컸던 게 사실”이라며, “국제 평가기준을 도입함으로써 이른바 ‘글로벌’이라는 이름으로 적용됐던 CC인증 평가는 아직 대부분 국내용 평가에 한정되고 있다”고 말했다.


보안업체, 2010년 이후 국제용 CC인증에 소홀  

실제 이들 제품군들이 국제용 CC인증을 획득한 시기는 2006년이 가장 많았지만, 2010년 이후에는 국제용 CC인증을 획득한 제품이 없는 전혀 없는 상황이다. 그나마 최근인 2011년 12월에 웨어밸리와 삼성SDS가 DB접근통제와 VPN 제품군으로 국제용 CC인증을 획득했다.


하지만 이는 글로벌 보안제품 출시를 장려해 국제경쟁력을 키우자는 CC인증제도 운영취지에 비춰볼 때 아쉬움이 따르는 결과라고 할 수 있다.


김범 웨어밸리 전략사업본부 상무는 이번 국제용 CC인증 획득과 관련해 “웨어밸리의 경우 DB보안 소프트웨어의 해외 수출비중이 높고, 해외고객의 제품신뢰도 향상과 해외파트너의 영업지원에 절대적인 요소로 작용하기 때문”이라면서, “국제 CC인증를 획득하지 않은 경우 해당 수출국가의 인증이 요구될 때 이를 대체할 수 있는 이점이 있다”고 말했다.


IT보안인증사무국의 보다 적극적인 역할 기대

CC인증 제도의 실효성에 대한 문제제기는 이미 수년 전부터 있어왔다. 그럼에도 이 제도가 지금까지 유지된 데는 국내 정보보안 업체들이 그 필요성을 인정한 점이 가장 큰 이유로 작용했다.


이 제도를 시행하고 있는 국가정보원 IT보안인증사무국은 인증기관으로서, 지난 2002년부터 국제공통평가기준(Common Criteria)에 따라 정보보호 시스템에 대한 CC인증 업무를 수행하고 있다.


하지만 CC인증 획득을 위해 분주했던 보안업계에서는 이 제도를 운영하고 있는 IT보안인증사무국의 보다 적극적인 역할을 기대하고 있다.  


보안업계의 한 관계자는 “인증 평가에 시간이 걸리기 때문에 보안제품을 벤더사가 원하는 때에 공급할 수 없는 어려움이 있다”고 말하고, “CC인증을 받은 제품에 대한 체계적인 사후 관리가 좀더 필요한 시점”이라고 지적했다.


다른 보안업체 관계자는 “보안제품 도입 전에 일정 수준을 요구하는 것에 대해서는 반대하지 않는다"면서도 “인증까지 소요되는 시간과 비용 등의 노력을 생각한다면, 중소업체로써는 조금은 부담스럽고 공공시장 진출의 규제로 작용할 수도 있다”는 의견을 피력했다.  


이와 관련 학계 관계자는 “현재 국제공통평가기준이 조금 무의미해지고 있고, 최근에는 국내용 중심으로 진행되고 있다”며, “국제용과 국내용으로 나눠 CC인증 제도를 진행하는 것에 대한 개선 논의가 필요한 시점”이라고 말했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>