KTL, “7월 중 설명회갖고 본격적 평가업무 돌입”

CC인증 수수료와 평가기간에 대한 오해와 억측 난무

 

국가정보원은 지난 7월 1일 한국산업기술시험원(원장 홍종희, 이하 KTL)을 정보보호 평가기관으로 승인했다. 그동안 한국정보보호진흥원(원장 황중연, 이하 KISA)에서만 맡아오던 평가업무를 민간에서도 할 수 있는 전기가 된 것이다.(아래 사진은 KTL에서 앞으로 CC인증 평가를 담당하게될 연구원들이다.)

 

그 동안 정보보호 업체들은 제품출시후 국 내ㆍ외 공공기관에 수출을 위해 KISA의 CC인증을 받아야만 했다.

하지만 KISA에서만 CC인증 평가업무를 진행해 왔던 터라 적체현상이 심각했다. 모 업체 관계자는 “라이프 사이클이 긴 제품은 모르겠지만 짧은 사이클을 가진 제품은 KISA 인증을 받기 위해 기다리다간 사업이 어려워 질 수도 있다”고 말했다.

그간 CC인증을 받기 위해서 업체들은 적게는 1년에서 늦어지면 2년 가까이 기다려야하는 실정이었다. 또 CC인증을 받기 위해 준비하는 기간과 비용, 인력투입 등을 고려해볼 때 중소형 정보보호 업체들에게는 엄청난 부담이 된 것이 사실이다.

원래 CC인증은 정보보호 업체들의 해외진출을 돕고 제품의 글로벌 표준화를 도모하기 위해 만들어 졌지만 오히려 이제까지는 정보보호 업체들에게 큰 부담이 되는 존재였다.  

국정원은 이러한 적체현상을 해소하고 기업의 원활한 SW 판매를 촉진시키자는 취지에서 민간기관이 적정한 평가인증기관으로서의 자격을 갖춘다면 평가기관으로 인증을 해주는 방안을 추진했다. 그 결과 KTL이 국내 최초로 민간평가기관 인증을 받게 된 것이다.

정통부, 관련법 개정 이루어질 전망

KTL이 민간 평가기관으로 지정되면서 여러 가지 변화도 있을 것으로 보인다. 우선 정통부와의 조율이 필요하다. 현재 국내법상 CC인증은 KISA에서만 할 수 있도록 명문화 돼 있다.

정보통신부와 KTL간 조율을 통해 관련법 개정을 서둘러야 할 상황이다. 정통부와 산자부 출현기관인 KTL 간의 상호 조율을 통해, KTL이 평가기관 자격을 획득한 이상 정보통신부는 신속하게 법 개정을 추진해 KTL에서 인증업무를 개시할 수 있도록 지원해야 한다. (아래 사진, 이수연 KTL IT평가 팀장이 평가기관 인증서를 들고 설명을 하고 있다.)

 

이수연 KTL IT평가 팀장은 “지난해 CCRA 가입을 계기로 업체들의 국제공인인증서 획득을 위한 평가 신청이 급증함에 따라 KISA에서만 해오던 평가작업 적체해소를 위해 KTL도 최선을 다하겠다”며 “7월 중 인증관련 설명회를 갖고 향후 어떻게 CC인증 평가 작업을 진행 해 나갈 것인지에 대해 발표할 것”이라고 밝혔다.

또 그는 “KISA와 정보통신부와도 협조관계를 유지해 도움을 주고 받기를 원한다”며 “민간평가기관으로 지정된 이상 조속한 법 개정이 이루어져 원활한 평가업무가 진행될 수 있기를 바란다”고 말했다.

수수료의 현실화...3~4배 증가

또 하나의 변화는 수수료의 현실화다. 지금까지 KISA에서 이루어져 왔던 CC인증 평가 수수료는 정보통신부에서 70%가량을 후원해주고 업체에서는 30% 가량만 부담하면 되는 형태로 이루어졌다.

만약 1억원의 평가 수수료가 발생하면 업체는 3000만원만 부담하면 평가를 받을 수 있었다.

하지만 이제 민간평가기관이 생겨나면서 수수료도 현실활될 전망이다. KTL과 같은 경우는 산자부 출현 기관으로 산자부 지원이 15%, 자체 충당금이 85%에 달한다. 따라서 수수료 현실화가 이루어지지 않으면 유지가 힘든 상황이 연출된다.

또 향후 1~2개 정도의 민간평가기관이 더 생겨날 전망이다. 이렇게 볼때 수수료 현실화는 대세로 받아들여 지고 있다.

한편 민간기관의 수수료가 현실화된다면 그동안 정통부가 KISA에 지원해왔던 수수료 지원책도 사라질 전망이다. KISA와 민간기관간 수수료 차이가 발생하게 되면 형평성 논란이 있을 수 있기 때문이다.

이와 관련 수수료 부문에서 언론들의 잘못된 보도들이 발생하고 있다. <ZDnet코리아>는 “민간 CC인증 수수료 KISA의 7배”라는 제하의 기사를 통해 마치 민간 평가기관의 수수료가 7배나 더 받는 것처럼 기사를 게재해 정보보호 업체 관계자들을 당황하게 만들었다. 물론 오보다.

이수연 KTL 팀장은 “정보통신부와 협의해 수수료 부분은 최대한 정부 정책을 따라가겠다. KISA에서 국내 CC인증을 받을 때, 업체부담은 지금까지 대략 2500만원 선이었다. 이제 수수료가 현실화되면 여기에 3~4배 정도의 부담이 더 발생할 것”이라고 말했다.

업체는 이제 정보통신부의 지원을 받을 수 없고 원래 책정된 수수료를 내야한다는 것이다. 즉 이전보다 3~4배 정도 수수료 상승이 정확하다고 볼 수 있다.

수수료 부담 줄이기 위한 방안...“있다”

KTL은 기업의 수수료 부담을 줄이기 위해 여러 가지 방안을 모색하고 있다. 중소기업과 관련된 제도적 혜택을 기업들에게 지원하겠다는 전략이다.

KTL 관계자는 “중소기업진흥법에 근거해 ISO인증규격에 맞는 인증을 받으려는 기업에 중기청에서 지원해주는 제도가 있다. 또 중기청 기술지도사업에 CC인증과 관련된 지원책이 있다. 이를 토대로 의뢰 기업의 수수료 부담을 최대한 줄일 방침”이라고 말했다.

또 하나의 추가 옵션으로 CC인증 평가와 더불어 다양한 각도로 테스트를 진행해 ES인증까지도 받을 수 있도록 기술표준원과 제도적 협의를 진행중에 있다고 한다.

만약 CC인증 의뢰기업이 ES인증까지 원한다면 1달 정도만 더 추가하면 가능하다는 것이 KTL측 입장이다.

ES인증을 받게 되면 중소기업청의 우선구매 제품으로 등록될 수 있고 우수제품 등록에 가산점이 붙어 중소기업을 타깃으로 하는 제품에는 상당한 이점이 있을 것으로 보인다. 

하지만 평가기관 한 곳이 늘어났다고 해서 그동안 적체현상을 보여왔던 CC인증 부분이 크게 완화될 것으로 큰 기대를 가지는 것은 금물이다.

이수연 팀장도 “업체들이 너무 큰 기대를 가지고 있어서 부담”이라며 “아직 KTL은 첫 시작이다. 팀도 아직까지는 1개 팀을 운영하고 있고 연말까지 2~3개반을 운영할 계획”이라고 밝혔다. 즉 아직까지는 인력풀이 KISA만큼 되지 않기 때문에 KISA에서 적체가 된 많은 부분들을 다 소화할 수는 없는 입장이라는 것이다.

KTL측은 올해까지 최대 3~4개 제품에 대한 인증작업이 가능할 것으로 내다보고 있다. 따라서 올해 KTL이 감당할 수 있는 부분은 CC인증 적체해소에 큰 영향을 미지지 않을 수도 있다.

한편 기간에 대한 오해도 많다고 한다. 일부 업체에서는 민간평가기관이 생겨나면 평가기간이 대폭 줄 것으로 오해를 하고 있다.

CC인증은 국제 인증이기 때문에 국제기준과 방법에 따라 진행된다. 따라서 원래 정해진 기간을 줄여서 부실한 평가를 할 수는 없다.

KTL 관계자도 “CC인증은 국제인증이 6개월, 국내인증이 4개월 정도 소요된다. 이 기간은 원칙적으로 국제적 기준과 방법을 따랐을 때 들어가는 기간이다. 이것을 줄일 수는 없다”며 “그 동안 문제가 돼 왔던 부분은 이 규정 기간을 넘어서 1년 혹은 2년을 기다리는 것이 문제였다. 이 부분에 대한 해소를 말하는 것”이라고 설명했다.

또한 KTL은 처음 시작하는 평가작업이니 만큼 업체들의 협조가 전적으로 필요한 상황이다. KTL 관계자들도 업체와의 협력관계가 긴밀하게 이루어져야만 원활한 평가기 이루어질 것으로 보고 있다.

KISA, 민간평가기관과 차별화...“고등급평가로 간다”

또 하나의 변화는 KISA의 변화다. 그동안 CC(국제공통기준) EAL 3~4등급 평가에 치중해 왔던 KISA가 민간평가기관이 생기면서 좀더 업그레이드된 평가를 하겠다고 나서고 있다.

KISA 관계자는 “그동안 EAL3~4 등급 평가에서 앞으로는 EAL5~7 등급 평가와 함께 스마트카드, 토큰 등 하드웨어 제품 등 고수준의 평가 위주로 진행할 계획”이라고 밝혔다.

KISA는 몇 년 전부터 고등급 평가에 대한 기술을 확보하기 위해 노력하고 있으며 향후 민간평가기관과 차별화를 위해 이와 같은 전략을 구상하고 있다.

하지만 KISA가 고등급 평가를 실시하게 되면 CCRA 회원국에서도 한국의 인지도는 더욱 높아질 것으로 예상되 긍정적인 평가를 받고 있다.

CC인증 적체...완전 해소는...아직 좀

또 한편으로는 여전히 적체는 계속될 것이라고 업계는 내다보고 있다. 민간평가기관 한 곳이 더 늘어난다고 해서 크게 해소될 것 같지 않았던 적체현상이 KISA가 앞으로는 고등급에 치중하게 되면 여전히 적체현상은 계속될 것이라는 분석이다.

모 업체 관계자는 “KISA에 CC인증을 맡기면 1년이고 2년이고 마냥 기다려야 한다. 또 준비기간과 인력투입 등 만만치 않은 작업이다. 그래서 민간평가기관이 생기면 KISA에 들어갔던 계약금을 포기하고서라도 민간기관에 맡기려는 업체도 있다”며 “이렇게 되면 민간 평가기관에 CC인증의뢰가 몰릴 것이 뻔하다. 아직 평가 인력이 많지 않은 상황에서 얼마나 적체를 해소할 수 있을지 의문”이라고 말했다.

거기에 KISA가 변화를 주기 위해 고등급 위주로 변화하다 보면 기존 CC인증받기가 더 어려워지지 않을까 우려의 목소리도 나오고 있다.

KISA의 변화와 민간평가기관 지정은 ‘긍정적’

하지만 대승적 차원에서 긍정적인 방향으로 나가고 있다고 보는 견해가 대세다. KISA는 이제 한 차원 높은 평가기관으로 도약할 시점에 와있다. 그리고 업계를 만성적으로 힘들게 했던 CC인증 적체현상 해소를 위해 몇 개의 민간평가기관이 나와야 하는 것은 당연한 논리다. 그 첫발을 KTL이 어렵게 이루어냈다.

모 업체 관계자는 “정보통신부는 그동안 이 문제를 적극적으로 해결해야 했음에도 불구하고 늦장 대처를 한 것에 대해 깊이 반성할 필요가 있다. 어떻게 CC인증을 받기 위해 1년 이상 혹은 2년을 기다려야 하나. 그렇게해서 SW가 팔릴 수 있다고 생각하는가. 업계가 신음하고 있는 것을 그냥 보고만 있었던 부분은 관련 기관으로서 당연히 잘못을 인정하고 적극적인 제도정비와 지원책을 마련해야 한다”고 강조했다.

KTL, 준비는 끝났다...“최고를 지향한다”

KTL은 인적ㆍ물적 인프라를 완성한 상태다. 인력부분은 계속해서 늘려갈 방침이다. 7월 중 설명회를 열어 향후 사업방향에 대해 자세히 설명할 수 있는 시간을 갖는다고 한다.

KTL의 이번 인증은 4년간 유효하며 2011년 6월 28일이면 종료된다. 그때 다시 실사를 거쳐 CC평가기관으로 재인증 받을 수 있다.

이수연 KTL 팀장은 “정보보호 산업체들이 힘들게 만든 제품들을 정확하게 평가해 판매에 지장이 없도록 제시간에 CC인증평가를 마칠 수 있도록 최선을 다하겠다”며 “정보통신부, KISA, 기술표준원 등과 긴밀한 협조 및 업체와의 협력을 통해 명실상부한 국내 최고의 CC인증 평가기관으로 자리잡아 나가겠다”고 포부를 밝혔다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>