지난달 국가정보원은 정보보호제품 평가· 인증제도 개선안을 발표했다. 하지만 그 내용들의 실현 가능성에 대해선 회의적인 시각이 많다. 보안업계는 평가적체현상 해소를 목적으로 내놓은 방안들이 정부의 의지는 천명했을지 몰라도 직접 현실화하기에는 어려운 것들이 대부분이라고 지적했다.

먼저 정보보호 제품의 '선 도입, 후 검증'으로 바뀐 보안적합성 검증부터 보면, 앞으로 보안적합성 검증은 기존 기술문서 검토 중심에서 운용현장 시험으로 변경된다. 운용 안전성 여부를 확인한 후 적합성 검증 결과를 제품 도입에 반영하도록 한다는 것이다. 하지만 기존에 보안적합성 검증필을 받은 제품들까지 매번 운용현장 시험을 거쳐야 하므로 보안적합성 검증을 받기 위해 제품들이 몰리게 되는 또다른 적체 현상을 낳을 우려가 있다.

국정원 관계자는 인적구성, 월 소요인원을 감안해 이 같은 개선책을 내놓은 것이라 말하지만, 개선된 제도가 본격 시행되는 6월부터 보안적합성 검증의 적체현상은 피할 수 없을 것이라는 게 업계 중론이다.

또한 CC인증 평가 부문에 있어서도 '앞으로 완성도 높은 제출물만 평가 계약을 맺겠다'는 개선안은 제출물의 완성도를 높여줬으면 하는 바람이지, 실제 점검 기준을 강화하겠다는 것은 아닌 것으로 분석된다. 한 CC인증 평가기관은 "같은 유형의 OR이 3번 나와 평가를 중단 및 해지하게 되면 보안 업체는 더 힘들어지고 제품에 문제가 있다는 인식이 확대될 수 있어 제품의 평가를 중단하거나 해지하기 어려울 것"이라고 말했다. 제출물 완성도를 높이기 위한 의지적 측면의 선언에 가깝다는 것이다.

이 밖에도 일관성 있는 제출물 검토 결과를 유지하기 위해 평가기관별 '제출물 검토 전담반'을 운영하겠다고 했는데, 인력이 부족한 민간 평가기관 두 곳의 경우 별도 전담반을 운영하기는 힘든 상황이다. 선임 및 주임평가자가 다른 업무를 보며 제출물 검토 업무를 병행해야 하므로 얼마나 검토 업무를 일관성 있고 신속하게 할지 미지수이다.

그동안 보안 업계는 평가인증의 적체 현상으로 심각한 어려움을 겪어왔다. 이 때문에 대다수 보안업체들이 인증에만 목매달고 인증만 앞세운 사업을 해왔던 게 사실이다. 인증이 사업을 위한 하나의 수단은 되어도 도구가 되지 않기를, 또 이번 인증평가 개선안이 또다른 업계의 고충이 되지 않기를 바란다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지