MDM 업체들 CC 인증 평가 지연에 '답답'

[김국배기자] 모바일 단말 관리(MDM) 솔루션에 대한 공통평가기준(CC) 인증 평가가 지연되면서 관련업체들이 답답함을 호소하고 있다. 지난 6월 모바일 보안 규격이 나오면서 공공 시장 활성화에 대한 기대감이 높아졌으나 CC 인증을 받기까지는 시간이 더 걸릴 것으로 예상되고 있기 때문이다.

관련 업계에 따르면 MDM 관련 솔루션 업체들은 현재 인증을 받기 위해 준비 중이나 평가 기관들은 업무 과부하로 인해 MDM 솔루션 CC 인증 평가를 뒤로 미루거나 아예 고려하지 않고 있다.

실제로 5개의 CC 인증 평가기관 중 한국인터넷진흥원(KISA)은 평가를 예정에 두고 있지 않으며 한국정보통신기술협회(TTA)와 한국산업기술시험원(KTL)도 올해 안에는 시행하기 어렵다는 입장을 밝히는 상태다.

◆ 사실상 올해 평가 어려울 듯

한국인터넷진흥원(KISA)은 현재 스마트카드 영역의 평가 업무에 집중하고 있다. 시큐어코딩 CC 인증 평가에 대한 사전 검토도 진행 중이다. 제한된 인력으로 많은 업무를 진행하다보니 MDM 솔루션 CC인증 평가는 우선순위에서 밀리는 모양새다.

한국인터넷진흥원 보안평가팀 서정훈 팀장은 "당분간 스마트카드 평가 업무 외 구체화된 다른 계획은 없는 상태"라고 언급했다.

다른 평가기관들도 사정은 크게 다르지 않다. 한국정보통신기술협회(TTA) 박준우 팀장은 "평가 기술 확보 등 MDM 평가를 위한 준비 과정에 있다"면서도 "다른 평가 업무들이 많아 현실적으로 올해는 힘들 것"이라고 말했다.

한국산업기술시험원(KTL) 이승환 선임도 "평가 관련 문의는 많이 들어오나 인증 기술 확보 전이라 언제 (평가가) 가능할지 가늠하기는 어려운 상황"이라며 "당장 신청을 받는다고 해도 내년 4~5월이나 돼야 평가를 시작할 수 있을 것"이라고 답했다.

한국시스템정보(KOSYAS) 측도 "업무상 이유로 답변할 수 없다"며 확답을 피했고 한국IT평가원(Ksel)도 "MDM 솔루션 CC인증 평가를 따로 준비하고 있지는 않다"고 대답했다.

◆ 보안적합성 심사는 번거로워…공공사업 차질 우려도

MDM 관련 솔루션 업체들은 이같은 상황에 답답함을 토로하는가 하면 내년 공공 사업 참여를 두고 우려섞인 목소리를 내고 있다.

MDM 관련 업체들이 CC 인증을 받지 못한다고 해서 공공 사업을 할 수 없는 것은 아니다. 다만 공공기관들은 MDM 솔루션을 도입한 후 국정원 보안적합성 심사를 거쳐야만 하므로 수요가 늘지 않는다는 게 업계의 평가였다.

보안 적합성 심사를 통해 사업이 가능하다고 해도 공공기관에 제품을 도입할 때마다 이같은 절차를 거치는 일은 업체 입장에서는 굉장히 번거로운 일이다. 보안적합성 평가에서 지적된 부분에 대해 지속적으로 기술 대응을 해주는 일이 보통이기 때문이다.

보안업계는 그 동안 모바일에 대한 국가 표준 CC 인증 규격 마련을 줄기차게 요청해 왔고 지난 6월 규격이 확정되면서 하반기 공공 분야 사업 활성화를 기대했으나 평가 지연 상황이 예상되면서 CC 인증 제품은 늦으면 내년 말에나 나올 가능성까지 생겼다.

CC 인증 평가를 준비 중인 A 업체 관계자는 "보안적합성 심사가 있어 영향이 크지 않을 수도 있으나 기관 중에는 CC인증 제품을 가진 업체가 나오기를 기다려 사업을 미루는 곳이 나올 수도 있다"고 예상했다.

다른 B업체 관계자도 "보안 규격에 따라 CC 인증 제품이 나올 것으로 기대했으나 결국 내년 사업 참여시기와 CC 인증 제품 출현 사이 최대 '1년의 간격(GAP)'이 생길 수도 있게 돼 공공 사업에 차질을 빚을 가능성도 있다"고 걱정했다.

◆ 시큐어코딩 CC 인증에 이어 또?

이전에도 CC 인증 평가 지연에 관한 문제가 없었던 것은 아니다. 최근에도 같은 이유로 시큐어코딩 솔루션에 대한 CC 인증 평가가 계속적으로 늦춰지면서 시큐어코딩 업체들이 곤란을 겪었다.

내년부터 20억원 이상의 공공사업에 시큐어코딩이 적용돼야 하지만 CC 인증을 획득한 제품은 없는 상태다. 업계에서는 심사 평가 기간을 고려해 시큐어코딩 의무화 유예 기간을 연기해야 한다는 목소리가 나오기도 했다. 현재 시큐어코딩 CC 인증 평가는 사실상 다른 평가기관 없이 한국인터넷진흥원만이 진행할 것으로 보인다.

상황이 이렇고 보니 연이은 CC 인증 평가 지연 사태가 국내 CC 인증 제도의 허점을 드러내는 것이라는 분석도 나온다. 국내 시장 보호를 이유로 CC 인증에 대해 진입 장벽을 세운 것이 원인 중 하나라는 지적이다.

김승주 고려대학교 정보보호대학원 교수는 "현재 우리나라는 외국에서 받은 CC 인증을 인정해주지 않다 보니 인증을 국내에서만 받아야 한다"며 "평가 기관이 모든 기술에 대한 평가 기술력을 확보해야 처지"라고 설명했다.

국내에서 CC 인증을 받기 위해선 소스코드를 공개해야 하고 이런 이유가 외산 제품을 진입을 막기도 하지만 국산 제품에도 무조건 좋은 면만 있는 건 아닌 셈이다.