진정한 적체해소를 위한 현실적 대안 필요

지난해 12월 설립된 한국시스템보증(대표 조대일 www.kosyas.com)은 한국정보보호진흥원(KISA), 한국산업기술시험원(KTL)에 이어 8월 9일 국내 세 번째로 정보보호 제품 평가기관으로 지정됐다.

민간평가기관이 늘어나면서 그동안 평가인증 적체현상으로 내수나 수출에 어려움을 겪어왔던 정보보호 업체들은 약간의 숨통은 트일지 모르겠지만 시원스럽게 해결될 것 같진 않다.

민간기관, 평가인력 수급...과제

현재 CC인증 평가는 KISA에 13개 반이 운영되고, KTL에서 1개 반, 한국시스템보증에서 2개 반이 운영되고 있다. 민간 평가기관이 2기관이나 늘어났다곤 하지만 여전히 KISA 인력규모에는 크게 미치지 못하고 있다. 

이에 KTL측은 현재는 1개 반으로 운영중이지만 내년에는 3~4개 반으로 확대할 계획을 가지고 있고 한국시스템보증도 현재 2개 반에서 1년에 1개 반씩 확대할 계획을 가지고 있다. 이렇게 볼 때 민간 평가기관이 어느 정도 인력규모를 갖추기 위해서는 적어도 2년 정도는 더 기다려야 할 모양이다.

또 수습평가자들을 양성할 목적으로 고려대학교와 성균관대학교 등에서 관련 강좌가 개설돼 180여 명이 수료를 했지만, 이들중 실제 수습평가사로 취직을 한 경우는 이번에 한국시스템보증에서 2명을 거두어 드린 것이 다다. 한국시스템보증은 매년 수습평가자를 채용할 방침을 가지고 있다. 이들이 4~5년 후에는 선임평가사로 활약할 수 있게 된다.

KISA나 KTL에서는 내부인력으로 충당을 할 계획이어서 대학에서 수습평가자 교육을 받았다 하더라도 이를 활용할 만한 인프라가 아직은 미비한 실정이다.

수습평가자에서 주임평가자가 되기에는 1년이 걸리고 다시 주임에서 선임평가자가 되기 위해서는 3~4년이라는 시간이 투입된다. 대략 수습에서 5년 정도 실무경력을 쌓아야만 진정한 평가사라 할 수 있는 선임평가사가 될 수 있다. 멀리 봤을 때, 지금이 수습평가사에 대한 투자가 필요한 시점이다.

평가 수수료 체계 조정이 필요하다

KISA는 얼마 전 중소기업 제품에 대해서는 할인율을 적용하고 대기업은 기존 그대로 수수료를 받겠다고 발표했다. 예를 들면, 중소기업이 국내용으로 EAL4 등급 평가시 1500만 원이 들어간다. 

반면 KTL이나 한국시스템보증에서 같은 조건으로 평가를 받게 되면 8000~9000만 원 선에 이른다. 민간평가기관 한 관계자는 “중소기업들이 크게 급박한 상황이 아니라면 굳이 4배 이상의 수수료를 부담하고 민간평가기관을 찾지는 않을 것”이라며 “그에 맞는 전략을 수립해야할 입장”이라고 말했다.

KISA와 민간 기관간 4배 이상 수수료 차이가 나는 마당에 열악한 환경의 중소기업에서 선뜻  더 많은 수수료를 내고 인증을 받기 위해 민간 기관을 찾을 수 있을까 의문이다.

이런 상황에서 민간 평가기관은 다양한 차별화 전략을 세워두고 있다고 한다. KTL 측은 중소기업 지원 대책을 최대한 활용해 중소기업의 수수료 부담이 줄어들 수 있도록 최대한 지원해줄 방침이다.

또한 CC인증과 함께 산자부 기술표준원의 ES인증까지 함께 인증을 받도록 해주는 원스탑 서비스를 제공한다는 것이다. 여기에 추가적으로 제품의 신뢰성 인증인 R-MARK 인증, 성능인증인 K-MARK인증 등도 추가 지원계획을 가지고 있다.

ES인증은 조달청 우수제품 선정에 가산점 적용이 되며 공공기관 우선구매 혜택을 받을 수 있는 인증이다. KTL측은 CC인증과 함께 약간의 추가 비용으로 이들 인증까지 동시에 받을 수 있도록 서비스한다는 원칙하에 KISA와의 수수료 차이를 극복하려 하고 있다.

한편 조대일 한국시스템보증 대표는 “KISA에서 중소기업의 평가 대기 제품이 많지 않는 한 수수료 부담으로 인해 민간기관까지 의뢰가 들어오기는 힘들 것”이라며 “이를 극복하기 위해 중소기업 보다는 대기업 제품 위주의 평가를 할 예정”이라고 말했다.

또 조 대표는 “국내용 인증보다는 국제 CC인증 위주로 평가 신청을 받겠다”며 “이 또한 KISA 혹은 KTL 측과의 차별화 전략이라고 할 수 있다”고 밝혔다.

덧붙여, 평가준비에서 평가까지 일원화된 서비스를 제공한다는 전략을 세우고 있다. 현재 한국시스템보증 평가인력의 대부분이 KISA에서 평가작업을 수년간 해왔던 선임평가사들과 연구원들이어서 CC평가 경험이 없는 기업들에게 체계적인 CC평가 컨설팅 작업까지 지원한다는 계획을 세워두고 있다.

시스템보증 측은 올해는 해외수출 계획이 잡혀있는 ‘레드게이트’의 서버보안솔루션인 ‘레드캐슬’에 대한 평가작업을 지난달 30일부터 진행중이며, 한 개사 제품만 추가적으로 더 평가할 계획이다.

평가물량을 더 많이 받을 수도 없다. 이유는 내년 4월이면 현행 V2.3에서 V3.1로 평가체계가 바뀌기 때문에 지금 선정업체를 많이 잡아둘 수 없는 입장이다. 그래서 올해는 레드게이트 제품 이외 한 제품만 더 작업한 후 내년 4월부터 본격적인 V3.1 평가작업이 진행될 전망이다.

좀더 수수료 문제를 집고 넘어가자면, KISA에서는 대기업은 기존 그대로 수수료를 받겠다고 밝히고 있다. 하지만 삼성SDS, 현대정보, 삼성전자 등 몇 몇 업체를 제외하면 대부분 정보보호 업체는 중소기업에 속한다. 시큐아이닷컴 정도만 대기업에 속하고 안철수연구소도 중소기업으로 분류돼 있다.

다시 말해 대부분의 정보보호 기업이 중소기업으로 분류돼 있기 때문에 여전히 수수료 부담이 적은 KISA로 평가의뢰가 몰릴 수밖에 없는 상황이다. 이렇게 되면 원래의 취지인 CC인증 적체해소는 요원해지는 것이다. 좀더 현실적인 대안이 필요하다.

조대일 한국시스템보증 대표는 “인력수급 문제, 수수료 문제 등으로 해결해 나가야할 일들이 많지만 차별화 전략으로 올해와 내년까지 준비를 착실히 해나간다면 민간기관들도 CC인증 적체해소에 상당부분 기여를 할 수 있을 것"이라고 밝혔다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>