그러나 정작 CC인증 계약 이후 정식 계약을 체결하기까지 걸리는 시간이 너무 길어 업체들의 불만의 목소리가 높아지고 있습니다. 아직 정식 CC인증을 체결한 보안업체는 단 한 개도 없는 상태. 업계관계자들은 CC인증에 대한 명확한 가이드라인이 없고 인증전문 인력 부족, CC제도에 대한 이해와 정보 부족 등 정부의 전문성에도 문제를 제기하고 있습니다. 관련 업계는 CC인증에 대한 정부의 보다 적극적인 해결 방식이 시급한 시점이라고 지적하고 있는 상황입니다.
윈스테크넷(대표 김대연)은 KISA와 자사 위협관리시스템(TMS) ‘스나이퍼iTMS`에 대한 CC(국제공통평가기준)인증 평가계약을 체결했습니다. 윈스테크넷 측은 “스나이퍼iTMS를 공식적인 TMS 제품으로 평가 받기 위해 평가제품 분류를 TMS와 가장 근접한 통합보안관제로 두고, 시장에서 요구하는 TMS 기능을 정의한 ST를 개발했다”며, “스나이퍼iTMS의 제품 경쟁력과 인증서의 시장 가치를 높일 수 있을 것”이라고 말했습니다.
안철수연구소(대표 김철수)도 자사의 웜/스파이웨어 차단 전문 네트워크 보안 장비인 ‘트러스가드 1100/3100/4100’ 시리즈에 대해 CC인증 평가 계약을 EAL4(Evaluation Assurance Level 4) 등급으로 체결했다고 발표했습니다. 안철수연구소 김익환 부사장은 "안철수연구소의 차세대 성장 동력인 네트워크 보안 장비로 CC인증을 획득하면 국내뿐 아니라 해외 시장에서도 고도의 보안 기술력을 알릴 수 있는 계기가 될 것”이라고 말했습니다.
모니터랩(대표 이광후) 역시 KISA와 자사의 웹 애플리케이션 보안 제품인 ‘웹 인사이트(WEB INSIGHT) 2.0’에 대한 EAL4등급 국제공통평가기준(CC)인증 평가계약을 체결했습니다. 모니터랩은 “게이트웨이 방식의 웹 방화벽으로는 국내 최초로 CC인증 평가계약을 체결한 것이며, GS인증과 NEP인증을 통해 입증된 품질의 우수성과 기술의 신규성이 이번 CC평가계약을 통해 보안성까지 인증받을 수 있는 계기를 마련했다”고 밝혔습니다.
이외에도 지난 상반기 넥스지, 티맥스소프트, 어울림정보기술, LG엔시스, 니트젠, 유니포인트 등 다수의 보안 업체들이 CC인증 평가 계약을 체결한 바 있습니다.
하지만 관련 전문가들은 CC인증에 대한 명확한 가이드라인이 없어 관련 업체들이 어려움을 겪고 있다고 지적합니다. 예전과 달리 한 시리즈에 인증을 받는 것도 아니고 한 제품당 반드시 하나씩 인증을 받아야하니 시간과 비용이 엄청나다는 것입니다. 또 아직 인증에 대한 절차가 명확치 않은데다 인증 계약을 체결해도 정식 인증까지 걸리는 시간이 길어서 업체들이 어려움을 겪고 있습니다.
인증에 드는 엄청난 투자비도 문제입니다. 서버보안 업체인 시큐브와 레드게이트는 지난 1년여 동안 인증 획득에 집중했지만 여전히 시장에서 원하는 제품을 모두 판매하기는 어렵다고 밝혔습니다.
올 한해 동안 인증 획득에 들인 돈만도 첫 평가때 2천500만원, 재평가 때마다 1천200만원씩 약 5천만원에 달하는 비용이 들었고 이들 서버 OS 버전이 업그레이드될 때마다 평가 인증을 새로 받아야해 인증에만 1억원 가까운 비용이 투자된다는 것입니다.
한편 돈이 들어도 좋으니 인증을 받겠다는 엄청난 수의 보안 제품들이 CC인증을 기다리고 있지만 한국정보보호진흥원(KISA)의 CC인증팀의 인력은 수많은 인증을 처리하기에 턱없이 부족합니다. 기업의 상황도 마찬가지입니다. 전문가는 한정돼 있고 인력 양성 기간이 긴데다 CC인증으로 바뀐 후 인증 과정이 더욱 복잡해져 목구멍에 풀칠하기도 어려운 보안업체들의 현실에서 인증 전문가를 모셔오기 위해 투자비를 들인다는 것은 엄청난 부담이라는 지적입니다.
관련 전문가들은 인증을 누가 먼저 획득하느냐에 따라 시장 판도가 달라지는 국내 보안 업계의 현실을 감안해 보다 체계적이고 현실성있는 CC인증 획득을 위해 정부가 힘써줄 것을 목마르게 요청하고 있습니다. <장윤정 기자>
![[dataNet] 장윤정 기자](/image/newsroom/default-user.png)