KTL, 국내 최초 국제표준 정보보호 평가기관 지정 앞둬

그동안 한국정보보호진흥원에서만 할 수 있었던 정보보호 제품 국내ㆍ국제 CC인증 업무가 앞으로 국제표준에 맞는 다른 평가기관에서도 할 수 있게 될 전망이다.

그동안 CC인증 업무를 한 곳에서 감당해 왔기 때문에 신속하게 처리되지 못해 적체현상이 발생해왔다. IT보안 관련해서 연간 CC인증 신청건수는 대략 40~50건에 달한다. 하지만 현재 국내에서 처리할 수 있는 업무양은 연간 약 25건에 불과한 것으로 알려져 있다.

CC인증을 받아야만 국내 공공기관 영업과 해외 공공기관 영업이 차질없이 이루어질 수 있기 때문에 기업에서는 꼭 필요한 인증절차라고 할 수 있다. 여기에 적체가 발생하면 인증이 늦어지는 기업에서는 아무래도 영업에 어려움을 겪을 수도 있어 이 부분에 대한 해결책 마련이 계속해서 대두된 상태였다.

이에 국가정보원은 CC인증 적체 현상을 해소하기 위한 방안으로 IT보안 관련 국제표준에 맞는 평가기관 확대지정과 전문 평가자 양성, CC인증과 별도로 국내인증제도의 도입, 유사제품에 대한 일괄평가 방식 도입 등을 대안으로 내세웠다. 그리고 구체적 실현을 위해 지난해 11월 평가기관 지정 설명회를 개최한 바 있다.

국정원은 평가기관 선정에 있어 3가지 엄격한 조건을 제시했다. 평가기관으로 선정되기 위해서는 우선 ISO17025에 의한 국제공인시험기관(KOLAS) 인증서를 획득해야 한다. 그리고 선임 평가자 1인 이상, 총 2인 이상의 평가자가 확보돼야 한다. 마지막으로 평가기관의 능력검증 뿐만 아니라, IT 및 물리적 보안상태에 대한 국정원의 최종 심사를 거쳐 확정한다는 조건이었다.

이에 한국산업기술시험원(이하 KTL)은 지난해 7월부터 KOLAS 인증 획득을 위해 꾸준히 준비해왔고 올해 2월말 KOLAS 인정을 신청해 지난 4월 27일 최종 인증을 받아냈다. 국내 최초로 정보보호 시스템 시험인정 기술요건을 포함한 KOLAS 인정을 획득한 것이다. 

KOLAS 인정을 획득한 KTL은 금년도 상반기 이내에 평가기관으로 승인받기 위해서 IT평가팀 연구원들이 각고의 노력을 기울이고 있는 상황이다.

평가기관 신청을 위해 국가정보원에 평가기관 승인 신청서를 제출하고, 현재는 최종 평가 제출물 제출을 목표로 작업에 여념이 없는 상태다. 이 최종 평가제출물은 EAL(평가보증등급)4 등급이상을 받아야 국정원 심사를 통과할 수 있기 때문에 KTL IT평가팀 연구원들이 각고의 노력을 기울이고 있는 상황이다.

국내 최초 KOLAS 인증 획득을 통해 IT보안 평가기관으로 선정되는데 성큼 다가선 KTL의 관계자는 “40여 년 동안 하드웨어 부분에 대한 평가 업무를 진행해 왔다. 이번에 소프트웨어에 대한 평가 업무로의 확대는 KTL로서도 큰 의미를 가진다”며 “그동안의 축적된 노하우를 십분 활용해 소프트웨어 평가기관으로서도 공신력있는 기관으로 거듭날 것이며 국내 보안 솔루션 산업에도 도움이 될 수 있도록 심혈을 기울이겠다”고 밝혔다.

KTL은 최종 평가물을 국정원에 제출하고, 국정원은 KTL에서 제출한 평가물을 면밀히 검토한 후 최종 ‘합격’ 판정을 내리게 되면 새로운 평가기관이 탄생되는 것이다.

만약 KTL이 국정원으로부터 평가기관으로서 최종 승인을 받게 되면 KISA 이외에 국내 정보보호 제품 평가기관이 처음 설립되는 것이며 그동안 적체되어 왔던 국ㆍ내외 CC인증이 다소 완화될 것으로 보인다.

이수연 KTL 신뢰성기술본부 IT평가팀장은 “단순히 평가기관으로 승인을 얻는 것이 중요한 것이 아니라 실재로 CC인증 업무를 잘 수행할 수 있느냐가 중요하다”며 “이를 위해서는 올해 말까지 6명의 전문 평가자를 확보하기 위해 팀원들 교육에 중점을 두고 있다”고 말했다.

KTL은 현재 6명의 기존 팀원들이 평가자 취득을 위해 교육을 이수중에 있으며, 총 책임을 맡고 있는 이수연 팀장은 지난 12월에 국정원에서 평가자 교육을 이수해  평가수행능력을 보유한 상태다.

그리고 타 평가기관에서 CC인증 업무를 맡고 있던 선임연구원을 영입하면서 KTL의 맨파워는 한층 업그레이드 됐다. 인력 인프라가 가장 중요한 사안이기 때문에 KTL은 이 부분에 가장 중점적인 투자를 하고 있다고 한다.

이수연 팀장은 “올해는 인적ㆍ물적 인프라를 탄탄하게 형성하는 과정에 있다. 올해는 2~3건 정도의 평가 업무가 가능할 것이고 내년부터는 인증 수요가 늘어날 것으로 생각하고 있다. 또 그에 맞게 평가자 인력도 계속해서 증원해 나갈 방침”이라고 밝혔다.  

한편 평가 수수료는 현재 정보통신부와 국가정보원이 협의중에 있지만, 전반적으로 현실화될 전망이다. 앞으로 계속해서 국제인증 평가기관이 생겨나면 현실적인 운영이 돼야 하기 때문에 지금 방식으로는 힘들다는 것이 관계자들의 전반적인 의견이다.

하지만 빠르게 변화하고 있는 IT의 물결 속에서 보안 솔루션이 살아남기 위해서는 제품 마케팅 시기가 중요한 관건이다. 만약 CC인증이 늦어져 제때 시장 진입을 하지 못한다면 기업으로서는 큰 손해가 아닐 수 없다.

이를 해소하기 위해 기업에서도 수수료 부담이 발생하더라도 보다 빠른 시간에 CC인증을 받아 원활한 마케팅을 하기를 원하고 있다. 이에 수수료 현실화는 큰 부담으로 작용하지 않을 전망이다.

이수연 팀장은 “지난 2003년부터 ES인증 업무를 원활하게 수행해 왔다. 이번에 평가기관으로 최종 승인이 난다면 정보보호 제품에 대한 평가도 큰 무리 없이 진행할 수 있을 것으로 확신한다”며 “기존에 해왔던 업무와 유사하기 때문에 팀원들의 적응속도도 빠르다. 공정하고 객관성 있는 평가기관이 될 수 있도록 준비하겠다”고 밝혔다. 

이제 국정원으로부터 최종승인이 떨어지면, KTL은 평가자 인력이 확보 되는대로 3개 반으로 평가팀을 운영해 연간 총 7~10건 정도의 CC인증 업무를 수행할 수 있을 것으로 내다보고 있다.  

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>