보안업계에서 CC인증은 주로 공공기관에 보안제품을 공급하는데 필요한 '딱지'로 통한다. 그러나 글로벌 시장에 진출하기 위해서도 CC인증은 필수다.
그러나 국내 보안 업체들이 국가정보원 산하(현 국가보안기술연구소 산하) IT보안인증사무국이 제시하는 규격에 맞춰 제품 인증을 받는 일에 초점을 맞추다보니, 글로벌 CC인증에 대한 준비는 상대적으로 미흡하다는 지적이다.
이런 가운데 최근 국제CC 인증 획득에 필요한 경쟁력 강화를 기치로 내건 한국CC사용자포럼(KCCUF)이라는 단체가 출범했다. KCCUF 준비위원장을 맡고 있는 임수진 SGA 전략사업본부 이사를 만나 포럼의 추구하는 목표와 향후 운영 계획에 대해 들었다.
시큐어소프트, 안랩을 거쳐 SGA에 합류한 임수진 이사는 국내 보안 업계에서 CC인증 전문가로 통한다. 회사는 바뀌었어도 해왔던 일은 크게 바뀐게 없다. 예전이나 지금이나 CC인증이 주특기다.
임수진 이사는 KCCUF의 핵심 목표에 대해 국제공동정보보호제품 유형별 보호프로파일(cPP)'을 우리나라가 주도할 수 있도록 이끄는 것이다는 점을 분명히 했다. 국제 CC인증을 주도할 수 있는 cPP를 제안할 수 있는 우리나라 대표기구를 만들고 싶다는 것이다.
cPP는 국제CC인증을 받기 위해 참고가 되는 일종의 가이드 라인이다. 인증을 받아야 하는 국내 보안 회사들 입장에선 글로벌 CC인증을 관리하는 국제상호인정협정(CCRA) 사무국에 등록된 cPP를 참고하지 않으면 인증을 받기까지 훨씬 많은 노력과 시간이 필요하다.
적절한 시점에 제품을 공급해야 하는 보안회사 입장에서는 cPP를 참고하는 것이 가장 빠르게 인증을 받을 수 있는 길인 셈이다. 예를 들어 방화벽 cPP, 가상사설망(VPN) cPP에 따라 인증을 준비할 경우 소요되는 시간, 비용을 줄일 수 있는 것이다.
문제는 CCRA에 올라온 cPP가 대부분 마이크로소프트(MS)나 시스코시스템즈와 같은 외국 업체들이 제공하고 있다는 점이다. 우리나라 업체들은 있는 걸 가져다가 쓰고 있을 뿐이다. 그러나 우리나라 업체들도 이제 cPP를 직접 등록할 필요가 있다는게 임수진 이사의 지적이다. 여기에서 KCCUF가 할 일이 있을 것이란 설명이다.
임 이사는 KCCUF가 미국 CCUF처럼 국내 보안업계, 제품 수요기업/기관, 인증기관들이 모두 참여해 우리나라가 잘 할 수 있는 보안기술에 대한 표준을 주도해 나가는 작업을 할 수 있는 기관이 될수 있도록 하겠다고 힘주어 말했다.
관련기사
- 임수진 SGA 이사, 한국CC사용자포럼 준비위원장 위촉2014.01.07
- 'CC인증 제도, 사후 인증은 시기상조"2014.01.07
- 금융당국, 허술한 CC 인증관리체계2014.01.07
- 국보연, CC인증사무국 역할 수행2014.01.07
그런 만큼, 임수진 이사는 KCCUF가 CC인증 관련 업무에 대한 단순한 협의체 성격을 넘어 국산 보안 장비와 솔루션들이 글로벌 시장에 진출할 수 있도록 발판을 마련해 줄 수 있는 전진기지가 돼야 한다는 입장이다. 국가보안기술연구소나 학계에서도 이같은 방향에 대해 적극적으로 찬성하는 입장이라고 임 이사는 전했다.
초대 KCCUF 회장이 누가 될지는 아직 정해지지 않았다. 후보를 물색하고 있는 상황이다. 임 이사는 KCCUF 회장도 글로벌 시장에서 MS나 시스코처럼 목소리를 낼 수 있는 기업 책임자가 맡았으면 한다는 바람을 밝혔다.