[단독]국정원, 10년 만에 CC인증제도 재이관 추진

[이데일리 최연두 기자] 국가정보원이 지난 2014년 과학기술정보통신부에 이관했던 공통평가기준(CC) 인증 업무 재이관을 추진할 것으로 보인다. 정책기관과 인증기관이 분리돼있어 업무가 효율적이지 못하다는 판단에서다. 국정원은 다시 CC 인증 업무를 이관받을 경우 상대적으로 기준이 낮은 ‘국내용 CC’ 인증을 없애고 ‘국제용 CC’만으로 일원화하는 방안을 검토 중인 것으로 알려졌다.

세계지도 그림 위에 놓인 자물쇠의 모습(사진=픽사베이)

국정원, 정책·인증 일원화 판단…시대 흐름 맞춰 국제용 CC만 유지

18일 업계에 따르면 국정원은 최근 내부적으로 CC인증 제도 운영 주체를 고민하고 있다. 이르면 올 연말에서 늦어도 내년 초까지 CC인증과 관련된 제반 업무를 과기정통부로부터 다시 가져오는 방향을 논의하고 있다. 지난 2014년 10월 국정원이 미래창조과학부(현 과기정통부)에 CC인증의 정책 부문 업무를 이관한 지 10년 만이다.

CC인증은 국가마다 상이한 정보보호 시스템 평가 기준을 연동하고 평가 결과를 상호 인증하기 위해 만들어진 제도다. 이 인증을 받으면 전 세계 31개국에서 제품의 보안성 등 부문의 성능을 인정받을 수 있다. 국내에는 2002년 국정원 주도로 도입됐으나, 민원 증가 등 업무 부담이 커지면서 인증 업무는 2012년 국가보안기술연구소(국보연)로, 정책 업무는 2014년 과기정통부로 이관됐다. CC인증을 받으려는 업체는 국보연이 관리하는 평가기관의 1차 평가를 받고, 최종적으로 국정원 내 인증위원회의 검토를 거치게 된다.

국내 보안업체가 제품과 서비스를 국가·공공기관에 공급하려면 CC인증을 획득해야 한다. 주로 국제용CC보다 인증 기준을 완화한 국내용CC 획득을 진행한다. 국내용CC는 국제용CC의 약식 평가라 해외서 인정받지 못한다는 한계가 있지만, 획득 시 시간과 비용 부담이 적다는 이점이 있다.

관련 업계에서는 국정원이 현재 운영 중인 보안적합성 검증 등 다른 보안 인증 제도와 CC인증이 유기적으로 맞물려 돌아가지 않는 원인을 정책과 인증이 분리된 데서 찾고 있다고 보고 있다. 국정원은 재이관을 추진한 뒤 장기적으로 국내용 CC 인증 체계를 없애고 국제용 CC 인증 체계만 유지한다는 계획을 세운 것으로 알려졌다. 당초 국정원은 2007년 국내용 CC 마련 시 이를 한시 운영하겠다는 계획을 밝힌 바 있다.

김승주 고려대 정보보호대학원 교수는 “(국정원이 CC인증을 재이관 받는 것이) 바람직하다고 본다”면서 “전 세계가 단일화하고 있는 상황 속 정보보호 제품도 이러한 흐름을 따르는 것이 맞지 않겠나”라고 반문했다.

과기정통부 “CC인증 이관? 근거 없다”…보안업계 “걱정 반 기대 반”

국정원의 이 같은 계획과 관련해 과기정통부는 당혹감을 감추지 못하고 있는 상황이다. 과기정통부 관계자는 국정원의 CC인증 정책 부문 재이관 관련 움직임에 대해 “전혀 근거가 없는 이야기”라고 말했다. 이어 “(해당 사안에 대해) 실무 단계에서 전혀 이야기가 오가지 않았다. 인증 관련 제도는 민간 영역이라 과기정통부가, 공공부문 도입 부문은 국정원이 담당하고 있다. 오래 전부터 이런 제도가 정착돼 왔다”며 문제가 없다는 입장이다.

국내 보안업계는 걱정과 함께 기대감을 나타내고 있다. CC인증의 정책·인증기관이 하나로 통합되면 국정원의 업무 특성상 인증 수요업체와 소통이 원활하게 진행되지 않을 것으로 우려되는 반면 제도 운영이 매끄러워질 것이란 시각이다.

한 보안장비 업체 관계자는 “우선 정책기관과 인증기관이 하나로 합쳐지면 관련 제도 운영에 혼선이 줄어들 것으로 보인다”고 말했다. 그는 “어떤 인증 정책이든 완벽하지 않기에 시행 과정에서 업계 입장이나, 세부 항목에 대한 문의사항 등 크고 작은 소통이 필요하다”면서 “그간은 국정원 기관 특성상 정확한 담당자를 확인하기 어려운 경우가 많았고, 잘못된 부분이 있을 시 시정 요청에 대해 의견 요청을 하기 어려웠다. 시행착오를 줄여주는 등 중소 IT업체의 어려움에 대한 배려나 충분한 고민 등이 필요하다”고 강조했다.