아주경제 장윤정 기자 = 2014년 CC인증을 받아야하는 대상 보안제품이 증가될 전망이다.
관련업계는 CC인증 대상 제품 증가에 따른 추가 비용 부담 및 인증을 위한 대기 시간 증가 등을 우려하고 있다.

가뜩이나 CC인증 적체가 이어지는 마당에 인증 제품 대상이 늘어나면 CC인증 대기 시간 역시 늘어날 수밖에 없기 때문이다. 또 내년 3월 ‘CCRA 국제협정서’가 개정될 예정인데 EAL3 이상 인증을 주로 받는 국내 기업들은 EAL3 인증에 필수인 cPP 추가 개발이 불가피한 상황이다. 보안업계의 부담은 이중, 삼중 가중될 전망이다.

IT보안인증사무국은 내년 CC인증을 받아야하는 의무 대상에 모바일 단말관리(MDM)와 소스코드 보안 취약성 분석도구를 추가했다고 밝혔다. 이에 따라 CC인증을 받아야하는 의무대상은 총 28개로 늘어났다.

소스코드 보안취약성 도구는 내년 1월부터, MDM은 6월 이후부터 CC인증을 받아야한다.

IT보안인증사무국은 “CC 인증 대상 품목을 확대하는 이유는 다양한 형태로 발전하는 지능형 사이버 공격을 막기 위한 최신 IT기술을 반영하고, 평가인증 기준과 기술의 지속적인 개선을 위한 것"이라고 설명했다.

나아가 IT보안인증사무국은 내년 3월 ‘CCRA 국제협정서’가 개정되면서 현행 평가보증등급(EAL) 기반 CC인증 제도에 상당한 변화가 있을 것이라고 밝혔다. 국제공동 정보보호제품 유형별 보호프로파일인 cPP는 EAL2 이하 등급에만 적용될 예정이다. 이에 따라 국내 보안제품들이 주로 받는 EAL3 이상 인증에는 cPP 개발 참여가 필수가 됐다.

한 업계 관계자는 “내년에 CC인증제도의 대대적인 변화와 함께 새로운 인증대상 확대가 예정돼 있지만, CC인증 기관의 인력이 절대 부족하다”며 “이로 인해 인증 적체 문제가 심각해짐은 물론 업체들의 비용부담도 더욱 늘어날 것”이라고 우려를 표명했다.

조규곤 지식정보보안산업협회 회장은 “현행 CC인증 제도는 문서 준비부터 인증심사 신청, 심사 완료까지 평균 6개월 가량 소요된다. 이때문에 고객은 최신 제품 도입 시기가 늦어져 시시각각 변하는 최신 위협에 대응할 수 없다”며 “인증 적체가 심각한 분야에 대해서는 사후인증을 도입, 고객 및 보안 업체들에 유연한 대처가 시급하다”고 강조했다.

한편 향후 지능형 지속위협(APT) 방어 제품도 CC인증 의무화 대상에 포함될 예정이다. 네트워크 장비에 대한 CC인증은 2016년 의무화될 계획이며, 최근 자주 발생하는 지능형 타깃공격(APT), 클라우드 방화벽, 차세대 방화벽 등에도 순차적으로 CC 인증 기준이 마련된다.

이처럼 신기술에 대한 CC인증 추가는 계속될 전망이라 업체들의 비용 부담 및 인증 적체 해소 방안 마련을 위한 정부의 빠른 대응이 시급하다는 지적이다.