[데이터넷] 정보보호 규제개선에서 가장 풀기 어려운 문제가 국제공통평가기준(CC) 인증이다. CC인증의 원래 취지는 국제 공통평가기준 상호 인정 협정(CCRA) 가입국에서 인증을 받은 제품은 다른 나라에서도 인정받게 한다는 것이었지만, 우리나라에서는 ‘국내CC’라는 변형된 제도로 운영되면서 국내 정보보호 산업의 보호막 역할을 했다. 국내 산업 보호를 위해 시행한 ‘국내CC’로 인해 국내 정보보호 산업을 갈라파고스로 만들었다는 비판에서 자유롭지 못하다.
공공 사업에 실제로 구축되는 제품은 CC인증을 받은 그 제품이 아니어서 인증의 실효성에 대한 비판도 나온다. CC인증을 획득하는데 평균 6개월, 길면 1년 이상 소요된다. 공공 사업을 수주하고, 시스템을 구축하는 과정에서 해당 기관에 맞게 커스터마이징 되며, 개발 과정에서 발견하지 못했던 신규 취약점에 대한 패치도 진행된다. 이 과정을 거치면 CC인증을 받은 6개월 전의 제품과 실제 기관에 공급되는 제품은 다른 제품이 된다. 원칙적으로는 소스코드 한 줄이라도 수정되면 다시 인증을 받아야 하지만, 실제로는 그렇게 하지 않는다.
업계에서는 공공기관의 보안 수준을 유지하기 위해서는 일정한 기준이 마련되어야 하며, CC인증이 그 역할을 하는 것은 당연하다고 입을 모으면서도 현재와 같은 프로세스는 시급히 개선해야 한다고 주장한다. 클라우드가 확산되면서 개발과 동시에 배포·운영되는 CI/CD 방식의 데브옵스 환경이 채택되고 있는 현재 상황에서 현행 CC인증 방식은 바뀌어야 한다는 주장이다. 이러한 규제로 인해 혁신 기술 채택을 더디게 만들고 스타트업의 시장 진입을 어렵게 한다는 것도 산업 발전을 위해 도움이 안된다는 주장도 나온다.
공공기관 납품 성과로 기술력 인정받는 환경 마련돼야
선진국에서도 공공기관에 보안 제품을 공급하기 위해서는 CC인증과 같은 보안 인증을 획득해야 한다. 국방, 외교, 안보 등 가장 높은 수준의 보안성을 지켜야 하는 기관에 납품되는 보안 제품은 가장 높은 레벨의 보안 인증을 받도록 되어있다. 그래서 미국 국방성이나 정보기관에 납품되는 보안제품은 전 세계적으로도 기술력을 인정받는다.
우리나라 정부에 납품되는 보안 솔루션이 그만큼의 신뢰를 받을 수 있는지 확신하기는 어렵다. 일례로 몇 년 전 국방망 해킹 사고 후 국방부에서 백신 솔루션을 개비할 때, 보안 솔루션 기업들이 절대 받아들일 수 없는 수준의 낮은 금액을 제안한 업체를 선정하면서 구설수에 오른 바 있다. 가장 높은 수준의 보안을 보장해야 하는 기관에서도 저가 경쟁을 유도한다면, 다른 기관의 상황은 불을 보듯 뻔한 일이라는 비판에 직면해야 했다.
공공사업 입찰 평가에 참여하는 전문위원의 전문성도 도마에 오른다. 정보보호에 대한 전문성이 없는 평가위원이 참여해 해당 기술을 전혀 이해하지 못한 상태에서 평가하다보니 기술점수를 제대로 매기지 못하고 가격으로만 평가한다는 지적이다. 특히 IoT 융합보안, 5G 보안 등 새로운 보안 시장을 개척하는데 있어 전문가의 의견이 제대로 반영되지 못하는 평가 방법으로는 사업을 진행하기 어렵다.
규제에 발목 잡힌 혁신 기술
ICT 환경은 혁신적이고 혁명적인 변화의 물결을 타고 있다. 새롭고 혁신적인 기술과 아이디어가 다양하게 등장하면서 시장의 흐름을 완전히 변화시키고 있다. 그러나 우리나라에서는 비현실적인 규제의 장벽에 부딪혀 혁신 기업의 시장 진입이 좌절된다.
6월 열린 ‘정보보호 산업분야 제도개선 세미나’ 패널토론에 참여한 조래성 와임 대표이사는 새로운 기술을 개발했음에도 규제의 벽에 막혀 사업을 유지하기 어렵다고 토로했다.
와임은 데이터를 잘게 쪼개 분산 저장·관리해 암호화 하지 않고도 암호화 한 것 이상의 수준으로 데이터를 보호할 수 있는 기술을 개발했다. 데이터 암호화는 키를 도난당하면 암호화 데이터를 보호할 수 없지만, 와임은 암호화 키가 없기 때문에 키 관리에 대한 고민을 하지 않아도 된다. 데이터를 탈취 당한다 해도 분산 저장된 모든 조각을 가져가서 맞추지 않으면 유출된 데이터는 아무 의미 없는 기계어에 불과하기 때문에 데이터의 의미를 알 수 없다.
이 기술을 이용하면 데이터 암호화가 어려운 IoT 환경에서도 데이터를 보호할 수 있다. 그러나 공공기관에서는 KCMVP 인증을 받은 암호화 모듈이 적용된 솔루션을 요구하기 때문에 공공 사업에 참여할 수 없다.
조래성 대표는 “우리나라에서는 공공 레퍼런스가 없으면 민간 분야에서 성과를 얻기 어렵다. 레퍼런스를 확보하기 어려운 스타트업의 경우 특히 더 그렇다. 이런 환경에서는 혁신 기술이 살아남을 수 없으며, 4차 산업혁명의 거대한 물결에 올라 탈 수 없다”며 “스타트업을 성장시키기 위해서는 현행 규제를 유연하게 적용할 수 있도록 보완조치 해야 한다”고 지적했다.
현실적이고 강화된 인증 제도 마련
현행 공공기관을 대상으로 한 인증제도의 불합리한 점은 조금씩 개선해나가고 있다. 6월 국가계약법 시행령을 개정해 CC인증을 받은 제품은 GS인증을 또 다시 받지 않고도 정부 조달사업의 수의계약이 가능하도록 했다. 이번 개정으로 혜택을 받을 수 있는 제품은 150여개에 이른다. 정부는 이처럼 시행령 개정으로 빠르게 개선할 수 있는 부분부터 개선해나가면서 다양한 이견이 충돌하는 정책에 대해서도 해결책을 찾아나간다는 방침을 밝힌다.
한편 현행 CC인증이나 보안적합성 검사 등의 규제를 개선하기 위한 다양한 아이디어를 내놓는 업계 관계자들도 다수 있다. 한 정보보호 업체 대표 A씨는 보안 기업의 제품 개발부터 출시, 업그레이드 전 과정에 대한 표준화된 기준을 마련하는 방안을 제안했다. 개별 제품에 대한 인증이 아니라 기업에 대한 인증을 제안하며, ISO와 같은 글로벌 표준 인증을 참고하는 방법을 검토할만하다고 밝혔다.
예를 들어 제품 기획과 개발에 참여하는 개발자에 대한 접근통제와 소스코드 보안, 외부 개발 시 프로세스 표준화, 개발 완료 후 테스트와 배포 과정, 제품 업데이트와 취약점 점검 및 패치 배포 등 전 과정에에 대한 품질인증을 거쳐 신뢰할만한 기업인지 확인하는 방식을 제안했다.
인증기관의 책임을 강화해야 한다는 주장도 나왔다. B 업체의 대표이사는 “CC인증 기관이 안전하다고 평가한 제품에서 문제가 생긴다면 인증기관의 책임도 물어야 한다. 100% 완벽한 보안은 없지만, 인증 심사 당시 업체에서 제출한 문서만을 보고 평가하는 것이 아니라 실제 제품에 보안 취약점이 있는지 살펴보는 등의 과정을 추가하는 것이 좋다. 인증 과정이 제대로 이뤄져 신뢰할 수 있는 제품에만 인증을 부여한다면 공공기관 뿐 아니라 다른 민간기업에서도 우선순위에 두고 검토할 수 있을 것”이라고 설명했다.
