[인터뷰]한국시스템보증(KOSYAS), 조대일 대표


▲ 한국시스템보증 조대일 대표





한국시스템보증은 국내 2호 민간 CC인증평가기관으로 지난해 9월부터 국내 정보보호 제품의 인증평가를 수행하고 있다. KISA, KTL 등 타 인증평가기관들의 경우 현재 국내용 인증평가에 주력하고 있는 반면, 한국시스템보증은 국제용 인증평가를 중심으로 진행하고 있는 게 특징이다.

현재 2개 평가 반을 운영 중이며 6명(선임평가자 3명, 수습평가자 3명)의 평가 인력을 보유하고 있다. 4월 1일자로 2명(선임1, 수습1)을 채용하고 5월에 2명의 수습평가자가 승격될 예정이라, 오는 5월에는 4개반을 운영할 수 있다. 전체 인증평가인력은 총8명(선임평가자 5명, 주임평가자 1명, 수습평가자 2명)이 된다.

한국시스템보증은 지난해 2개 보안 제품의 인증 계약을 체결했으며 오는 3월말 추가로 4개 제품의 인증 계약을 체결했다. 4월과 5월 레드게이트, 시큐아이닷컴사의 인증평가를 완료하고 상반기 내 4개 제품의 인증평가에 착수할 예정이다. 신청업체와 인증기관 간에 평가 업무 착수 전에 제품의 복잡도, 기능을 분석해 평가 기간이 얼마나 걸릴지 산정하는데, 예상했던 기간과 별 차이 없이 평가업무를 진행 중이라는 게 한국시스템보증의 설명이다.

한국시스템보증 조대일 대표는 "평가업무를 진행해 본 경력자들이 많아 수월하게 평가 업무를 수행하고 있다"며 "앞으로도 국제 인증 위주로 평가를 시행해 민간 기관이지만 국내 정보보호 제품들의 해외 수출을 적극 지원할 것"이라고 말했다.

다음은 한국시스템보증 조대일 대표와의 일문일답.

- 인증평가에 대한 계획 및 목표는.
초기 국제 평가를 중심으로 수행하겠다고 했던 게 모든 인증평가기관이 국제용 평가 수수료는 동일하지만, KISA와 비교해 국내용 인증 평가 시 수수료 부분에 있어 경쟁력이 떨어지기 때문이다.
앞으로도 국제용 인증평가를 우선시 하겠지만 국제용 평가만 진행하겠다는 것은 아니다. 국내용이든, 국제용이든 인증 신청을 하면 제출물 완성도, 시급성 등을 보고 선별작업을 거쳐 평가계약을 체결할 예정이며, 향후 국내용 평가반과 국제용 평가반을 가져갈 계획이다. 실제 3월 인증평가 계약을 맺은 모니터랩 DB보안 제품의 경우 국내용 인증을 받게 된다.
앞으로도 삼성전자나 시큐아이닷컴처럼 국제용 인증을 받아 빨리 해외 진출을 해야 하는 정보보호 업체들의 인증획득에 지속적으로 도움을 주고자 한다. 또한 국내 평가기관 중 최고 기술을 지닌 회사 하면 한국시스템보증을 떠올릴 수 있도록 기술적으로 안정화된 회사를 만드는 게 목표다.

- 인증평가 외에 컨설팅 업무도 하고 있는데.
평가를 위한 제출물의 완성도 수준에 의해 평가 기간이 좌우된다. 인증평가 기간에 지연이 없게 신청받기 전 제출물의 완성도를 높일 수 있도록 컨설팅 업무도 같이 지원하고 있다. 기업 내부에 평가 전담자를 두지 못하는 보안업체의 경우 제3의 업체에 의해 제출물을 준비하다보면 완성도가 떨어질 수 있다. 때문에 컨설팅과 인증 평가를 일원화해 보안 업체들이 차질 없는 평가를 받을 수 있도록 하고 있는 것이다. 컨설팅 비용은 2,500만원 전후로, 외국에서는 평가기관들의 컨설팅 업무가 활성화되고 있는 것으로 알고 있다.

- 적체 현상 해소에 민간평가기관으로서 얼마나 기여하고 있나.
민간평가기관이 운영되기 전인 지난해 3~4월 KISA에 인증신청이 많이 몰렸다. 현재 KISA가 13개 평가반을 운영하고 있지만, 23개 정도의 제품이 대기하고 있다. 올 연말 경 민간평가기관들의 평가반수는 최소한 KISA의 반 정도는 될 것으로 예상된다. 대기시간 해소에 앞으로 더 많은 기여를 할 수 있을 것으로 생각한다.
이와 별개로 국정원에서 일괄평가제를 비롯해 인증기간 단축을 위한 방안을 지속 검토중이다. 실제 수습, 주임, 선임 평가자의 자격이 완화됐고 올 2월부터는 선임평가자 한사람과 주임평가자 두 사람이 2개 평가반을 운영가능하게 됐다.

- 올해 CC인증평가 관련 변화되는 부분은.
보통 인증 평가기간을 국내용 인증은 4.5개월, 국제용 인증은 6~7개월에 받는 것을 목표로 하고 있다. 사용자가 느끼는 인증의 적체현상을 보다 개선하기 위한 종합적인 정책 발표가 국가정보원 IT보안인증사무국 주최로 4월 2일 코엑스에서 있을 예정이다.
또 올해 보안성 평가 시 필요한 공통평가기준(CC) 및 방법론이 기존 v2.3에서 v3.1으로 바뀌게 된다. 3.1 버전으로 바뀌면서 오히려 없어지는 문서도 있고 업체들이 혼동 일으킬 정도 아니라 본다. 국제용은 4월 1일부터 국내용은 내년부터 적용된다. 우리는 이미 3월에 평가계약을 체결한 제품부터 3.1버전으로 전환했고, 업체들이 어려워 할 수 있는 변화된 생소한 부분에 대해 컨설팅을 해주고 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지