하지만, 민간평가기관의 설립과 함께 전해진 평가비용 현실화 논의는 많은 보안 기업들에게 근심거리를 던져주고 있다. 현재 한국정보보호진흥원(KISA)에서 진행하는 인증평가는 본래 책정돼야 하는 수수료보다 상당히 낮은 수준으로 민간평가기관 설립은 이의 현실화를 불가피하게 만든다.
평가 수수료는 약 2천만원대 수준이다. 그나마 KISA가 업계 부담을 최소화하기 위해 실제 수수료의 15% 정도만을 책정하고 있는 까닭으로 현실화되면 1억원을 상회할 것이란 분석이 업계의 중론이다. 이외에 평가를 위한 인력과 시간 등 제반 비용을 포괄하면 실제 업체 부담은 3억원을 훌쩍 넘어서게 된다.
인증평가 비용이 부담스러운 것이 사실이겠지만, 평가수수료는 현실화되는 것이 옳다. KISA가 실제 수준의 15% 정도로 수수료를 책정할 수 있는 것은 정부보조 때문인데 언제까지 이런 기형적 구조가 유지될 수는 없기 때문이다. 이에 인증 제도의 재검토, 인증 획득이 아닌 인증 적용에 대한 재검토를 요구하는 주장이 일각에서 제기되고 있다. 인증 적용의 합리화가 선행돼야 평가 수수료 현실화에 따른 부작용이 제거된다는 것이다.
인증 적용의 합리화란, 꼭 필요한 부문에서만 필요한 수준의 인증을 받도록 하자는 것이다. 우리나라는 인증에 지나치게 얽매여 있다는 주장은 예전부터 지적돼 왔다. 너나할 것 없이 높은 수준의 인증을 요구하는 것으로 심하게 말하면, 일선 면사무소와 중앙 행정자치부에 도입되는 보안장비 수준은 동일하며, 또 핵심 네트워크 보안 장비와 다른 기타 보안 솔루션의 인증 수준도 모두 최상급으로 요구되고 있다.
이러한 현실의 개선없이 평가인증 수수료가 합리화된다면 유망 기술을 갖춘 신생업체의 진입을 막게 될 뿐만 아니라 새로운 분야의 활성화도 기대할 수 없게 된다. 연 매출이 몇 십억원에 불과한 시장에서 3억원 이상의 비용을 들여 인증을 받아야만 영업이 가능하다는 것은 사업을 하지 말라는 것과 같다.
세계적으로도 우리나라처럼 인증이 모든 분야에 광범위하게 요구되는 국가는 없다는 것이 업계 관계자들의 전언이다. 미국의 경우, 연방정부의 핵심 기관에서는 엄격한 기준을 적용해 EAL4 수준의 인증을 요구하지만, 주정부나 주정부 산하 단체로 내려오면 이러한 기준은 점차 완화되며 CC 인증의 여부는 참고자료가 될 뿐 제품선정의 당락을 가르는 결정적 요인으로 작용하지 않는다고 한다.
국내 보안산업은 비록 초기에는 정부의 보호 우산에 의존한 바가 컸다고 할지라도, 이제 그 우산을 벗고 글로벌 시장에서 해외 기업과 겨룰 수 있는 경쟁력을 갖췄다고 평가된다. 최근 정보보호 업체들이 해외에서 올리는 가시적인 성과들은 이를 반증한다. CCRA 가입은 글로벌 경쟁력을 갖춘 보안 산업의 세계 시장 진출을 돕기 위해 추진됐지만, 인증에 좌우되는 국내 보안 시장을 뒤흔드는 변혁의 동력으로도 작용하고 있다. 변화에 발맞춰 인증 적용에 대한 인식도 달려져야 한다. 그렇지 않다면, CCRA 가입의 긍정적 측면은 퇴색할 수밖에 없을 것이다.
