민간 평가기관 1호 KTL, 인력 부족 심각

민간 정보보호 평가기관 1호인 한국산업기술시험원(KTL)이 평가인력 부족으로 '허울만 1호'라는 비판으로부터 자유롭지 못하게 됐다.

KTL은 지난 6월 29일 평가기관으로 지정되면서 한국정보보호진흥원(KISA)이 독점해왔던 정보보호 평가 시장 판도에 변화를 몰고올 것이란 기대를 받았다. 하지만 KTL의 평가 인력 크게 부족한 것으로 드러나 제대로 역량을 발휘하기 힘들 것이란 우려를 낳고 있다.

현재 KTL의 보안성평가인력은 선임평가자 2명과 수습평가자 5명 등 총 7명으로 구성돼 있다. 반면 KISA는 선임과 주임을 포함한 평가자가 28명, 수습평가자 14명으로 총 42명에 달한다.

KTL 평가인력은 KISA 인력의 6분의 1 밖에 안되는 셈이다. 그나마 1명도 KISA에서 급히 수혈했다.

평가자는 평가수행 능력에 따라 ▲EAL4 이하의 등급에 대해 평가수행이 가능한 선임평가자 ▲ EAL3 이하의 등급에 대해 평가수행이 가능한 주임평가자 ▲선임·주임평가자의 평가업무를 보조하는 수습평가자로 분류한다.

이런 기준을 적용할 경우 KTL에서 실제 업무에 투입해 평가 과정을 책임지는 평가자는 2명에 불과하다. 5명의 수습평가자는 적어도 EAL3 이상의 등급 평가수행에 1회 이상 참여해야 주임평가자가 될 수 있기 때문이다.

◇평가자 자격 부여

KTL의 이수연 IT평가팀장은 "조직 내 평가 유관 업무를 5년 이상 담당한 평가자를 추가해 부족한 인력을 보강할 예정"이라고 말했다. 그러나 큰 폭으로 충원할 계획은 아니라고 밝혀 그 실효성은 미미할 것으로 보인다.

한국정보보호진흥원 보안성평가단 이완석 팀장은 "KISA에 평가인력이 몰려있는 것은 사실"이라며 "KISA와 KTL의 명확한 업무 분담을 통해 평가인증업무 적체 현상을 해소할 것"이라고 설명했다. EAL5·6·7 고등급은 KISA가 담당하고, EAL4 등급 이하는 KTL이 담당해 두 기관을 경쟁 체제가 아닌 보완 체제로 운영하겠다는 것이다.

하지만 국내 정보보호제품 적체현상이 가장 몰리는 등급이 EAL4 등급이기 때문에 KISA의 방침은 오히려 향후 KTL의 평가인력 부족 현상만 부추기는 게 아니냐는 지적을 받고 있다.

대기기간 없이 바로 평가에 착수할 수 있어 KTL에서 평가를 받겠다는 한 업체는 "KTL에서 평가 받으려는 업체는 평가인력 부족으로 인해 KISA와 마찬가지로 적체 현상에 시달리지 않겠냐"고 우려했다.

최근 국정원 IT보안인증사무국에 평가기관 승인 신청서를 제출한 한국시스템보증(KOSYAS) 역시 같은 비판을 받고 있어 평가인력에 대한 기준을 상향 조정할 필요가 있다는 지적이 힘을 얻고 있다.

국가정보원 IT보안인증사무국의 '정보보호제품 평가인증 수행 규정'에 따르면 선임평가자 1명을 포함한 평가자 2명 이상만 보유하면 평가기관으로 지정될 수 있다.