CCRA 가입과정 물음표는 남기지 말자

국정원, CCRA 가입신청 완료

오는 2005년 1월 1일을 기점으로 정보보호 제품의 보안성 평가가 국제공통평가기준(이하 CC : Common Criteria)으로 통일되는 가운데, 국정원이 CC 기반의 인증을 획득한 제품을 상호인정해 주는 CCRA(Common Criteria Recognition Arrangement) 가입 신청서를 제출했다고 밝혔다. 지난해 말 국내 정보보호 제품평가 단일화 발표 이후 예견된 수순이긴 하지만, 그동안 CCRA 가입여부에 대해 조심스런 입장이었던 정부의 이번 가입결정에 대해 다소 의외라는 반응도 있기는 하다. 이런 상황에서 정부의 CCRA 가입이 어떤 형태로 이뤄질 지에 많은 관심이 쏠리고 있다.

이미 잘 알려진 것처럼 CCRA는 북미지역과 네덜란드·독일·영국·프랑스 유럽 4개국이 정보보호 제품의 평가기준을 CC로 단일화해 국가별 인증을 획득하기 위한 불필요한 시간과 비용을 줄이자는, 즉 궁극적으로는 정보보호 시장의 상호개방을 의미하는 협정조약으로, 지난 2003년 말 일본이 가입을 완료함으로써 현재 19개국이 CCRA 협정국가로 등록돼 있다. 우리 역시 지난 9월 가입신청서를 제출함으로써, 빠르면 2006년 CCRA 가입협정국에 이름을 올릴 수 있을 것으로 보인다.

“더 이상 늦출 수 없다”

분명 CCRA는 정보보호 제품 인증을 CC 기반의 평가로 통일해 가입국 상호간에 인정해 주는 일종의 자유무역 협정의 성격이 강하다. 때문에 자국의 정보보호 산업이 경쟁력을 갖추지 못할 경우, 상당한 부담으로 작용한다는 것은 자명한 사실이다. 하지만 이런 위험을 감수하고서라도 최근 CCRA 가입국이 늘어나고 있는 것은 정보보호 시장 확대와 제품 경쟁력 향상 그리고 해외수출 모색 가능이라는 당위성이 있기 때문이다. 여기에 CCRA가 정보보호 분야에서의 영향력이 점점 더 높아지고 있다는 사실도 무시할 수 없다.

물론 여기에는 국내 정보보호 산업상황이 CCRA의 파장을 이겨낼 수 있을 만큼 성장했느냐는 문제가 제기될 수 있다. 그러나 앞서 밝혔듯 CCRA 가입의 당위성와 더불어 CC가 사실상 ISO 국제표준으로 인정받고 있고, 2000년 CCRA 출범 이후 매년 가입국이 늘어나는 상황이라는 점에서 시기적으로 더 이상 가입을 늦출 수 없다는 것이 정부의 입장인 듯 하다. 또 하나, 지금까지 정부가 CCRA 가입을 지속적으로 검토해왔던 만큼 업계에게도 충분한 여유가 주어졌다는 것도 가입결정의 요인으로 작용했다고 볼 수 있다.

CCRA 가입, 무엇을 봐야 하나

한편, 국정원이 제출한 신청서에는 인증서 발행국(CAP) 자격으로 가입한다는 내용을 비롯해, 현행 국내 평가제도에 관한 내용이 제출된 것으로 알려져 있으며, 최종결정은 CCRA 평가단의 실질 심사와 회원국의 만장일치 여부에 따라 이뤄질 것으로 보인다.

하지만 단순해 보일 것 같은 이런 절차에 관심이 쏠리는 배경에는 어떤 형태로 CCRA에 가입될 것이냐 하는 것이다. CCRA가 일종의 자유무역협정이라는 성격이 있다고 해도, 각국 정부의 이해관계가 걸려 있는 만큼 다양한 선택이 있을 수 있기 때문이다. 그 대표적인 것이 CAP로서의 가입 가능성이다.

CAP와 CCP

CCRA에서는 제품 보안성 평가인증서의 발급과 수용을 동시에 할 수 있는 인증서 발행국(CAP)과, 단순히 인증을 받아들이기만 하는 인증서 수용국(CCP)으로 구분된다.

CCP와 CAP의 가장 큰 차이는 CCRA가 공식적으로 인정한 제품 평가기관의 존재 유무. CCP에서는 공식적인 제품 평가기관이 없어 CCP에 소속된 보안업체가 보안성 평가를 받기 위해 해외의 CAP 소속 평가기관에 의뢰해 인증을 획득해야 한다. 그런데 자국이 아닌 해외에서 평가를 받는 것은 상당한 부담으로 작용할 수 있다. 예를 들어 상대적으로 활동반경이 좁은 국내 보안업체가 제품 인증을 획득하기 위해서는 인증심사비용 이외의 비용(업체들은 이 비용을 약 1억원 이상으로 예상하고 있다)을 감수하며 해외에서 인증을 받아야 하는데, 결과적으로 이것은 제품의 가격 경쟁력 약화로 이어질 수 있다는 말이다. 물론 이런 사실을 모를 리 없는 정부 역시 CAP 자격으로 CC RA 가입을 추진하고 있다.

그러나 CAP 가입이 그리 간단한 문제만은 아니다. 표 1에서 알 수 있듯, 초기 제품 평가기준 통일화와 상호협정을 외쳤던 국가만이 CAP로 자리 잡은 반면, 후발 참여국가들 대부분은 CAP와 달리 CCP로 가입됐다는 사실을 알 수 있다. 물론 대부분의 국가들은 CCP를 CAP로 가기 위한 과정으로 생각하고 있고, 이런 상황은 지난 2003년 10월 터키와 헝가리의 가입형태에서도 쉽게 알 수 있다.

그런데 이런 상황도 불구하고 정부가 CAP로의 가입을 추진하고 나름대로 자신하는 배경에는 지금까지 정부가 ‘CCRA 가입=CAP’라는 원칙을 고수했던 사실도 있지만, 일본의 사례가 큰 힘이 됐을 것이라는 주장도 제기되고 있다. 가장 최근 CCRA 가입국이 된 일본은 신생가입국의 형태인 ‘先 CCP 가입’이 아닌 ‘CAP 직행’이라는 새로운 관례를 만들어 냈다. 이런 사실은 우리 정부에게도 ‘충분히 가능하다’는 인식을 심어줬다고 볼 수 있다.

민간 평가기관의 등장과 수수료

CAP로의 직행이 가장 큰 관심사이기는 하지만 CAP와 관련돼 제기되는 민간 평가기관의 등장에 대해서도 업계는 많은 관심을 보이고 있다. 그렇다고 현재 CCRA의 가입조건 중에 민간 평가기관이 존재해야 한다는 조건이 있는 것은 아니다. 단지 제품평가 시 해당 기관이 공정성과 투명한 절차를 가질 수 있느냐의 여부만이 중요할 뿐이며, 정부의 신청서 역시 정부 산하기관인 한국정보보호진흥원이 평가기관으로 등록된 것으로 알려져 있다.

그럼에도 민간 평가기관에 대한 관심이 높아지는 이유는 국내 평가기관 체계와 평가비용이 다른 CAP 국가와 차이를 보이기 때문이다. 특히 국내 평가수수료는 정부 지원이 이뤄져 해외의 그것에 비해 약 10배 이상의 차이를 보인다. 하지만 이런 현실은 CAP 내 소속된 평가기관들의 수익성과도 직결되기 때문에, 국가적 이해관계로 얽힌 CCRA 가입 시 걸림돌로 작용할 것이라는 우려가 제기되고 있다. 비록 정부가 국내 평가체제 및 절차에 대해 현상유지가 될 것이라는 입장에도 불구하고, 평가비용에 대한 업계의 걱정이 앞서는 것도 이런 요인들이 작용하기 때문이다.

예외조항의 범위 어디까지

한편, CCRA 협정이 사실상 시장개방인 만큼 국내 보안시장 개방이 어느 선에서 이뤄질 것이냐 하는 점도 주목되는 부분이다. 현재 금융기관과 공공기관의 공급제품은 K4 제도로 묶어두는 방식이 적용되고 있지만 CC로의 평가기준이 단일화되고 또 CCRA의 가입이 이뤄진다면 이에 대한 정책적 변화는 불가피할 것으로 보인다.

정부는 CCRA 협정서에서도 이미 예외조항을 규정해 놓고 있는 만큼 이를 활용해 최대한 개방수위를 낮춘다는 계획이고, 또 시장보호의 범위는 공공기관에 한정될 것이 유력하다고 밝히고 있지만 어떤 방식을 통해 적용될 것인지는 명확한 결정이 내려지지 않은 것으로 보인다.

소문에 휩싸이는 CCRA

이런 상황에서 모든 정보보호 업체가 그러한 것은 아니지만, CCRA 가입에 대한 대세를 인정하는 가운데, CCRA 가입상황을 지켜보고 있는 곳이 대부분이다. 해외진출과 제품 경쟁력 향상이라는 CCRA 가입 당위성의 혜택을 받을 국내 업체가 현실적으로 몇이나 되겠느냐고 의문을 제기한 한 업체 관계자는 “그럼에도 CCRA 가입결정이 이뤄진 만큼 이 때 생기는 다양한 갈림길에서 정부가 업계에 최대한 유리하도록 해 주길 바랄 뿐”이라고 말한 대목도 이런 맥락이다.

하지만 정부가 원하는 또 의도하는 방향과는 다르게 CCRA 가입에는 장애요인들이 있을 수 있다. 관례를 깨고 CAP로 직행한 일본은 경제력과 외교력에서 영향력을 발휘했을 수 있을 뿐만 아니라, 토종 정보보호 업체가 없는 자국의 상황도 크게 작용했을 수 있다. 또 민간 평가기관이 없다는 점에서 평가기관과 평가 수수료의 문제에 대해서는 많은 변수가 있을 수 있다.

이런 의미를 고려해 본다면, 정부의 CCRA 가입과정에 대한 투명한 공개는 필수적이다. 가입과정에서는 어떤 문제들이 있을 수 있으며, 또 어떤 대안들이 있는지를 설명할 필요가 있다. “CCRA에 대해 업체들은 서로 다른 견해 혹은 서로 다른 정보를 갖고 있는 것 같다”고 전한 한 업체 관계자는 “업계가 정부의 원칙적 입장에 대해 숙지하고 있겠지만 CCRA 가입에 따른 변수가 너무 많다”며 불안감을 감추지 못하고 있다.

국내에서는 시장개방과 관련해 그 어떤 산업도 진통을 겪지 않은 것이 없다. 얼마 전 FTA가 그랬고, 스크린쿼터 역시 그렇다. 분명 CCRA 가입신청 여부는 이미 결정됐고, 또 그 과정이 진행 중이다. 그러나 의욕적인 정부의 의도대로 모든 것이 이뤄지지 않을 상황이 벌어질 수 있다. 정부가 국내 정보보호 업계의 상황을 전혀 고려하고 않는다면 다르겠지만, 그 반대라면 모든 과정에 따라 업계가 대처할 시간적 혹은 심적 여유를 주는 것이 바람직하다.