.gif)
성능 최소 기준 도입해 기준 강화...2022년 EDR 등 제품 추가 계획도 있어
[보안뉴스 원병철 기자] 정보보호제품 성능평가 제도가 2022년부터 성능평가 기준을 강화하는 등 큰 변화를 맞이한다. 국가정보원(이하 국정원)과 국가보안연구소, 한국인터넷진흥원(이하 KISA)은 ‘IT보안제품 보안적합성 검증정책 설명회’를 개최하고 이와 같이 밝혔다.
▲IT보안제품 보안적합성 검증정책 설명회 모습[사진=보안뉴스]
국정원은 세계 각국은 사이버안보의 중요성을 인지하고 공급망 보안 등에 대한 국제공조를 강화하고 있다면서, 국정원 역시 국가사이버안보대응과제 강화 및 사이버안보 패러다임 구축, 범정부 협력체계 공고화 등 다양한 강화방안을 마련하고 있다고 밝혔다.
이어 KISA 물리보안성능인증팀 김선미 팀장은 ‘정보보호제품 성능평가 제도 소개 및 22년 추진방향’을 소개했다. 정보보호제품 성능평가 제도는 정보보호제품이 운영환경에서 정상 및 유해트래픽에 적절히 대응하는지 정보를 기준 및 절차에 따라 성능평가를 실시해 결과를 제공하는 제도다. 정책기관은 과기정통부이며, 심의·관리기관은 KISA가 맡고 있다. 성능평가기관은 KOIST, KSEL, KOSYAS, KTC, TTA 등 5개 기관이 맡고 있다.
현재 13종의 제품, △네트워크 방화벽 △DDoS 대응장비 △APT 대응장비 △안티바이러스 제품(Window) △침입방지시스템(IPS) △웹 방화벽(WAF) △차세대방화벽(NGFW) △소스코드 보안약점 분석도구 △모듈형 안티바이러스 제품 △가상사설망(IPSec VPN, SSL VPN) △네트워크 자료유출방지 제품(NDLP) △리눅스 기반 안티바이러스 제품 △모바일 기반 안티바이러스 제품 등이 성능평가를 시행중이며, 2022년 12월까지 EDR이 포함될 예정이다.
정보보호제품 성능평가 제도는 가격이 아닌 성능 중심의 국내 정보보호산업 생태계를 조성하고 국내 정보보호 기업의 기술경쟁력을 제고하기 위해 진행되고 있다.
2022년 4가지 계획
정보보호제품 성능평가 제도는 2022년 4가지의 변화를 맞이한다. 첫 번째는 성능 최소기준 도입이다. 기존 성능평가 기준에 대해 최소 기준을 적용함으로써 기준을 강화한다는 것이다. 정보보호제품에 대한 신뢰성 확보와 제품 성능 향상을 위해 최소 기준을 마련하겠다는 것. 대상제품은 DDoS, 웹방화벽, 네트워크 방화벽, 안티바이러스 제품 등이며, 일부 제품은 별도로 적용된다. 예를 들면, DDoS 대응 장비는 차단율 95% 이상, 방화벽 규칙 위반 트래픽 100% 차단 등이다.
또한, 네트워크 처리율에 따른 네트워크 성능 등급제를 시행한다. 수요기관의 니즈에 맞게 제품을 선택할 수 있도록 성능 등급제를 적용한다는 것. 예를 들면, 웹방화벽은 대규모, 중간규모, 소규모로 등급을 나눠서 각각 10Gbps 이상(대규모), 1~10Gbps 이내(중간규모), 1Gbps 이내(소규모)로 구분한다는 것이다.
두 번째는 인센티브 부여다. 우선 KISA 지원사업 참여시 가점을 부여한다. KISA의 계약자 선정지침을 개정해 성능평가 결과 확인서 보유기업이 KISA 지원사업 참여시 가점을 부여하도록 제도적 지원책을 마련한다.
또한, 정부가 소프트웨어산업진흥법에 근거해 국가, 공공기관, 지자체 등 공공분야를 대상으로 매년 정보보호 구매수요 조사를 실시하고 있는데, 이때 ICT 장비 구축계획의 보안인증 코드에 정보보호제품 성능평가 항목을 추가한다는 방침이다. 실제로 2022년 구매수요 조사에서 3,240억원 중 성능평가 제품 구매는 53.7억원에 이른다는 조사결과가 나왔다.
세 번째는 성능평가자 및 CC평가자 양성교육이다. 성능평가자 양성교육은 성능평가기관 재직자와 대학교 졸업생 및 졸업예정자를 대상으로 2022년 8월경 신청접수를 받고, 9월 중 교육을 실시할 계획이다. 또한, CC평가자 양성교육도 6월말~7월 경 신청접수를 받고 8월 중 교육을 실시한다. 별도의 자격시험을 통과할 경우 3년간 유효한 수료증을 부여한다.
네 번째는 성능평가 비용 및 컨설팅 지원사업이다. 우선 성능평가 비용 및 컨설팅 지원사업은 지난 5월 추진해 종료했으며, 국내 정보보호 제품 개발업체를 대상으로 성능향상을 위한 컨설팅 및 성능평가를 무료로 지원했다.
아울러 성능평가 지원 공모 사업은 6월 말~7월 예정으로 국내 정보보호제품 개발업체에게 성능향상을 위한 컨설팅과 성능평가의 비용을 최대 90%(6개 제품) 지원한다. 단, 2022년 12월까지 기술 심의를 통과해 성능평가 확인서를 발급받는 제품에 한해 비용을 지원한다.
KISA는 향후 성능평가제품 대상 확대를 위해 우선 수요기관 및 개발업체의 의견수렴을 거쳐서 신규 제품군을 선정한 뒤, 2023년 신규 제품군을 확대한다. 또한, 품질관리 강화를 위해 KISA와 성능평가기관간 기술공유 워크숍을 개최할 예정이다.
성능평가를 받은 제품이 조달 수의계약을 할 수 있도록 관련 법령 개정 지원 및 관계기관 협의를 추진해 2023년 조달 수의계약을 추진하며, 성능평가 비용 지원 및 맞춤형 컨설팅 제공 확대를 지원한다. 또한, 개발업체 담당자가 성능평가 준비시 활용할 수 있도록 절차나 기준이 포함된 가이드를 제공할 계획이다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 정보보호제품 성능평가 제도가 2022년부터 성능평가 기준을 강화하는 등 큰 변화를 맞이한다. 국가정보원(이하 국정원)과 국가보안연구소, 한국인터넷진흥원(이하 KISA)은 ‘IT보안제품 보안적합성 검증정책 설명회’를 개최하고 이와 같이 밝혔다.
▲IT보안제품 보안적합성 검증정책 설명회 모습[사진=보안뉴스]
국정원은 세계 각국은 사이버안보의 중요성을 인지하고 공급망 보안 등에 대한 국제공조를 강화하고 있다면서, 국정원 역시 국가사이버안보대응과제 강화 및 사이버안보 패러다임 구축, 범정부 협력체계 공고화 등 다양한 강화방안을 마련하고 있다고 밝혔다.
이어 KISA 물리보안성능인증팀 김선미 팀장은 ‘정보보호제품 성능평가 제도 소개 및 22년 추진방향’을 소개했다. 정보보호제품 성능평가 제도는 정보보호제품이 운영환경에서 정상 및 유해트래픽에 적절히 대응하는지 정보를 기준 및 절차에 따라 성능평가를 실시해 결과를 제공하는 제도다. 정책기관은 과기정통부이며, 심의·관리기관은 KISA가 맡고 있다. 성능평가기관은 KOIST, KSEL, KOSYAS, KTC, TTA 등 5개 기관이 맡고 있다.
현재 13종의 제품, △네트워크 방화벽 △DDoS 대응장비 △APT 대응장비 △안티바이러스 제품(Window) △침입방지시스템(IPS) △웹 방화벽(WAF) △차세대방화벽(NGFW) △소스코드 보안약점 분석도구 △모듈형 안티바이러스 제품 △가상사설망(IPSec VPN, SSL VPN) △네트워크 자료유출방지 제품(NDLP) △리눅스 기반 안티바이러스 제품 △모바일 기반 안티바이러스 제품 등이 성능평가를 시행중이며, 2022년 12월까지 EDR이 포함될 예정이다.
정보보호제품 성능평가 제도는 가격이 아닌 성능 중심의 국내 정보보호산업 생태계를 조성하고 국내 정보보호 기업의 기술경쟁력을 제고하기 위해 진행되고 있다.
2022년 4가지 계획
정보보호제품 성능평가 제도는 2022년 4가지의 변화를 맞이한다. 첫 번째는 성능 최소기준 도입이다. 기존 성능평가 기준에 대해 최소 기준을 적용함으로써 기준을 강화한다는 것이다. 정보보호제품에 대한 신뢰성 확보와 제품 성능 향상을 위해 최소 기준을 마련하겠다는 것. 대상제품은 DDoS, 웹방화벽, 네트워크 방화벽, 안티바이러스 제품 등이며, 일부 제품은 별도로 적용된다. 예를 들면, DDoS 대응 장비는 차단율 95% 이상, 방화벽 규칙 위반 트래픽 100% 차단 등이다.
또한, 네트워크 처리율에 따른 네트워크 성능 등급제를 시행한다. 수요기관의 니즈에 맞게 제품을 선택할 수 있도록 성능 등급제를 적용한다는 것. 예를 들면, 웹방화벽은 대규모, 중간규모, 소규모로 등급을 나눠서 각각 10Gbps 이상(대규모), 1~10Gbps 이내(중간규모), 1Gbps 이내(소규모)로 구분한다는 것이다.
두 번째는 인센티브 부여다. 우선 KISA 지원사업 참여시 가점을 부여한다. KISA의 계약자 선정지침을 개정해 성능평가 결과 확인서 보유기업이 KISA 지원사업 참여시 가점을 부여하도록 제도적 지원책을 마련한다.
또한, 정부가 소프트웨어산업진흥법에 근거해 국가, 공공기관, 지자체 등 공공분야를 대상으로 매년 정보보호 구매수요 조사를 실시하고 있는데, 이때 ICT 장비 구축계획의 보안인증 코드에 정보보호제품 성능평가 항목을 추가한다는 방침이다. 실제로 2022년 구매수요 조사에서 3,240억원 중 성능평가 제품 구매는 53.7억원에 이른다는 조사결과가 나왔다.
세 번째는 성능평가자 및 CC평가자 양성교육이다. 성능평가자 양성교육은 성능평가기관 재직자와 대학교 졸업생 및 졸업예정자를 대상으로 2022년 8월경 신청접수를 받고, 9월 중 교육을 실시할 계획이다. 또한, CC평가자 양성교육도 6월말~7월 경 신청접수를 받고 8월 중 교육을 실시한다. 별도의 자격시험을 통과할 경우 3년간 유효한 수료증을 부여한다.
네 번째는 성능평가 비용 및 컨설팅 지원사업이다. 우선 성능평가 비용 및 컨설팅 지원사업은 지난 5월 추진해 종료했으며, 국내 정보보호 제품 개발업체를 대상으로 성능향상을 위한 컨설팅 및 성능평가를 무료로 지원했다.
아울러 성능평가 지원 공모 사업은 6월 말~7월 예정으로 국내 정보보호제품 개발업체에게 성능향상을 위한 컨설팅과 성능평가의 비용을 최대 90%(6개 제품) 지원한다. 단, 2022년 12월까지 기술 심의를 통과해 성능평가 확인서를 발급받는 제품에 한해 비용을 지원한다.
KISA는 향후 성능평가제품 대상 확대를 위해 우선 수요기관 및 개발업체의 의견수렴을 거쳐서 신규 제품군을 선정한 뒤, 2023년 신규 제품군을 확대한다. 또한, 품질관리 강화를 위해 KISA와 성능평가기관간 기술공유 워크숍을 개최할 예정이다.
성능평가를 받은 제품이 조달 수의계약을 할 수 있도록 관련 법령 개정 지원 및 관계기관 협의를 추진해 2023년 조달 수의계약을 추진하며, 성능평가 비용 지원 및 맞춤형 컨설팅 제공 확대를 지원한다. 또한, 개발업체 담당자가 성능평가 준비시 활용할 수 있도록 절차나 기준이 포함된 가이드를 제공할 계획이다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
