• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

CC인증제 두고 갑론을박! 개선방안 있나? 2013.11.13

CC인증제 발전·평가인증기술 개선·민간평가기관 역할 등 방안 모색

 

[보안뉴스 김경애] 민간업체가 개발한 정보보호시스템의 보안기능을 검증하고, 안정성과 신뢰성을 보장하는 정보보호시스템 평가·인증제(이하 CC인증)와 관련해 최근 갑론을박이 벌어졌다.   

CC인증제를 둘러싸고 ‘사후인증제를 도입할 필요성이 있다’ ‘인증 유효기간이 3년이면 너무 길다’ 인증획득 소요기간이 너무 길다’ 등등 보안업체와 평가기관, 수요기관 등이 각각의 입장에서 여러가지 이슈를 제기한 것. 

 ‘정보보호산업 상생발전 정책세미나’가 12일 국회 의원회관 제2소회의실에서 개최된 가운데 업체, 평가기관 등 각 분야 전문가들이 한 자리에 모여 CC인증제 발전방안을 모색하는 심도있는 논의가 진행됐다.


이러한 열띤 논의는 정보보호산업의 상생발전을 위해 서로 협업하고, 공유하기 위해 국회 의원회관 제2소회의실에서 개최된 ‘정보보호 산업 상생발전 정책세미나’ 자리에서 이뤄졌다.  

새누리당 하태경 국회의원이 주최하고, 국가보안기술연구소, 지식정보보안산업협회, 사이버보안연구센터가 공동 주관한 이번 정책세미나는 정부부처, 공공기관, 민간기업, 정보보호산업체, 학계, 금융계, 언론, 통신사 등의 관계자들이 모두 모인 가운데 진행됐다.


이날 진행된 정책 세미나는 ‘정보보호시스템 평가·인증제 이대로 좋은가?’란 주제로 △국내 정보보호제품 CC인증제 발전방안 △정보보호제품 CC평가인증기술 개선방안 △정보보호제품 CC인증 평가제도 발전을 위한 민간평가기관 역할 △정보보호제품 CC인증 취득 보안업체 입장 등 인증기관과 평가기관, 보안업체 등 각 분야의 전문가들이 각각의 입장에서 협업하고 상생하기 위한 발전방안에 대해 발표하고, 이에 대한 심도 있는 논의가 이루어졌다. 


먼저 평가기관을 대표해 국가보안기술연구소 IT보안인증사무국의 이상훈 팀장은 ‘국내 정보보호제품 CC인증제 발전방안’으로 평가·인증 수행기관 전문성 강화와 국제 활동 강화를 제시했다.


이와 관련 이 팀장은 “인증기관의 경우 제품 보안성 검증 강화와 CC인증대상 제품을 다양화하도록 노력하고, 평가인증 기준과 기술을 지속적으로 개선하겠다”며, “평가기관의 경우 평가자와 평가기관의 역량을 강화하고, 평가기관 간에 기술을 공유해 전문성을 강화할 수 있도록 유도할 방침이다. 이와 함께 정보보호업체의 애로사항과 제도 개선 의견을 적극 수렴할 것”이라고 말했다.


이어 수행기관인 한국인터넷진흥원의 보안평가팀 서정훈 팀장이 ‘정보보호제품 CC평가인증기술 개선방안’으로 신규 정보보호제품 평가 제품군, 평가진행 현황, 평가기술 개선방안에 대해 발표했다.


그 가운데 신규 정보보호제품 평가제품군으로 서 팀장은 소스코드 보안약점 분석도구와 스마트폰 보안관리(MDM) 제품을 꼽았다.


이와 관련 서 팀장은 “소스코드 보안약점 분석도구와 스마트폰 보안관리 제품에 있어 보안요구사항은 이미 지난 3월에 발표된 바 있는데, 국가·공공기관을 대상으로 한 소스코드 보안약점 분석도구의 경우 CC인증제품 도입 의무화는 내년 1월부터 시행될 예정이고, MDM  분야의 경우는 내년 6월부터 시행될 예정”이라고 밝혔다.


덧붙여 그는 법·지침에 따라 CC평가의무화 제품을 선정할 경우 시장이 활성화 될 수 있는 반면, 특정 기술발전이 지연될 수 있고, 최신 기술이 적용되지 못해 안전하지 않은 제품을 도입할 수 있다고 지적했다. 따라서 시장활성화에 따른 자연스러운 수요 증가를 반영해 의무화 제품을 선정해야 한다는 것이다.


또한, 선도적인 기술개발이 필요한 경우, 국내외 표준화 활동을 통해 기술을 선점해야 하고, KCCUF(한국CC사용자포럼) 등을 통해 정보보호산업 동향을 신속히 파악해야 하며, 교육제도가 활성화되어야 한다고 서 팀장은 강조했다.


다음으로는 민간평가기관을 대표해 한국시스템보증의 최태경 선임연구원이 ‘민간평가기관 역할’에 대해 발표한 가운데 평가제도 발전을 위해 △새로운 유형의 위협 대응 △민간평가기관의 국제용 평가 지원 △개발단계의 협업이 강화되어야 한다고 제안했다.


마지막으로 발표에 나선 한 보안업체 관계자는 “정보보호제품 CC인증 취득과 관련한 평가·인증제의 개선 요구사항으로 “유효기간 제도에 있어 갱신업체와 신규수요 업체가 맞물려 인증적체 현상이 심화되고 있어 민간평가기관을 통한 인증 지원과 선별적인 사후인증제 도입 등 현실적인 적체해소 방안이 필요하다”고 밝혔다.


또한, 그는 “짧아진 개발 생명주기에 맞춰 제품을 업그레이드한 경우 재평가 절차·기간을 현실화하고 간소화해야 하며, 급변하는 보안위협 및 시장확대에 따른 다양성은 최대한 수용하되 불필요한 중복성은 배제해야 한다”고 덧붙였다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>