향후 지능형 지속위협(APT) 방어 제품도 CC인증 의무화 대상에 포함될 예정이다. 네트워크 장비에 대한 CC인증은 2016년 의무화 될 예정이며, 최근 자주 발생하는 지능형 타깃공격, 클라우드 방화벽, 차세대 방화벽 등에도 CC 인증 기준이 마련될 계획이다.
하태경 새누리당 의원 주최로 12일 열린 ‘정보보호 산업 상생발전 정책 세미나: 정보보호 시스템 평가·인증제 이대로 좋은가’에서 국가보안기술연구소 IT보안인증사무국 관계자는 “2016년부터 네트워크 장비에 대해 CC인증이 의무화 될 예정이다. 나아가 새로운 공격을 방어하기 위한 APT 방어 솔루션이나 클라우드 방화벽, 차세대 방화벽에 대한 CC 인증 기준을 마련할 계획”이라고 말했다.
IT보안인증사무국은 지난 3월 소스코드 보안약점 분석도구(시큐어코딩)와 스마트폰 보안관리(MDM)를 CC인증 대상 품목으로 지정한 바 있다.
이처럼 CC 인증 대상 품목을 확대하는 이유는 다양한 형태로 발전하는 지능형 사이버 공격을 막기 위한 최신 IT기술을 반영하고, 평가인증 기준과 기술의 지속적인 개선을 위한 것이다.
더불어 평가·인증 수행기관의 전문성을 강화하기 위해 취약성 침투 시험 가이드 등 각종 평가 지침서를 제공하고, 평가기관관 기술을 공유하며, 기술공유 워크숍 및 보수교육 내실화를 추진한다는 방침을 밝혔다.
CC인증 적체 심각…사후인증제 도입 필요성 제기
한편 IT보안인증사무국은 내년 3월 ‘CCRA 국제협정서’가 개정되면서 현행 평가보증등급(EAL) 기반 CC인증 제도에 상당한 변화가 있을 것이라고 밝혔다. 국제공동 정보보호제품 유형별 보호프로파일인 cPP는 EAL2 이하 등급에만 적용될 예정이어서, EAL3 이상 인증을 받고자 하는 국내 보안업체들은 cPP 개발 참여가 반드시 필요하게 됐다.
이처럼 CC인증제도의 대대적인 변화와 함께 새로운 인증대상 확대가 예정돼 있지만, CC인증 기관의 인력부족으로 인한 인증 적체 문제는 해결하기 어려울 것으로 보인다. 내년에 대대적인 제도 변화로 인해 CC인증 지연 현상은 더욱 심각해 질 것이라는 전망이 우세하다.
이 때문에 보안업계에서는 사후인증제를 도입하는 것이 현실적인 대안이라고 주장한다.
지식정보보안산업협회장인 조규곤 파수닷컴 대표이사는 “현행 CC인증 제도는 문서 준비부터 인증심사 신청, 심사 완료까지 평균 6개월 가량 소요되기 때문에 고객은 최신 제품 도입 시기가 늦어져 시시각각 변하는 최신 위협에 대응할 수 없다. 더불어 보안벤더는 제품 개발 후 실제 매출이 발생할 때 까지 상당한 기간이 소요돼 어려움을 겪는다”며 “인증 적체가 심각한 분야에 대해서는 사후인증을 통해 고객와 보안벤더들이 보다 유연하게 제품을 사용할 수 있도록 해야 한다”고 강조했다.
