CC(Common Criteria)인증 대상 품목도 확대된다. 모바일 보안 솔루션 기업 입장에서는 비용 부담이 늘어날 수 밖에 없다. 국보연 IT보안인증사무국은 올해 CC인증 의무 대상에 모바일 단말관리(MDM)와 소스코드 보안 취약성 분석도구(소위 시큐어코딩) 2종류를 추가했다. 소스코드 보안 취약성 도구는 1월부터, MDM은 6월 이후부터 CC인증을 받아야 한다. 국내 업체 중에서는 최근 파수닷컴이 시큐어코딩 CC인증을 받았다.
CC인증 관련 국제 표준도 한층 강화된다. 국제적인 CC인증 표준화 단체인 CCRA는 그 동안 회원국과 개발업체 및 평가기관이 협력해 보호프로파일 개발을 하도록 장려해 왔다. 하지만 앞으로 CCRA 협정서가 개정되면, 현재 등급(EAL)기반 상호인정 방식에서 공동 보호프로파일(cPP) 기반 상호인정 방식으로 전환된다. 국제 기술 커뮤니티(iTC)에서 개발하고 CCRA CC개발위원회에서 승인한 cPP를 적용한 인증 제품에 한해 상호인정을 해 주겠다는 것이다.
cPP를 적용하지 않은 경우 EAL2까지만 상호인정한다. EAL(Evaluation Assurance Level)은 1~7단계까지 있으며, 외국기업의 경우 제품에 따라 4또는 5의 높은 EAL을 요구하는 경우도 있다. 현재까지는 한국의 인증사무국에서 EAL4를 받은 경우 이를 인정했으나, 앞으로는 cPP에서 인정받은 것을 엄격히 적용한다. EAL 등급기반에서 보안지침(cPP) 기반으로 변경되는 제도는 국제용에서부터 적용된다.
이에 따라 앞으로 cPP 준수 여부가 보안제품 해외수출 경쟁력에 영향을 미칠 전망이다. 국내 보안업체 30여개사는 현재 CC 사용자 포럼(CCUF)을 구성, 대응책을 마련 중이다.
김원석기자 stone201@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
