[특집] 보안 전문기업, CC인증으로 안전ㆍ신뢰성 제품 출시와 기업가치 상승 정보보호제품평가는 사람이 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하는 것과 마찬가지로 정보보호제품에 대한 건강검진과 같은 것으로 보안 업체는 이러한 CC평가·인증을 통해 시장에 안전하고 신뢰성을 검증받은 제품을 출시하고 기업과 제품의 가치 상승을 꾀할 수 있다.
국내 보안시장의 50% 이상을 공공기관이 차지하고 있는 가운데 보안업체의 매출 신장을 위해서는 공공시장에서 많은 성과를 얻어야 한다. 때문에 CC인증을 받아야만 공공기관에 공급이 가능하기 때문에 공공시장에서 경쟁력을 갖기 위해서는 CC인증이 꼭 필요하다.
특히 CC인증 제품은 일반 기업의 보안담당자들도 많은 관심을 갖고 있다. 이에 CC인증은 자사의 솔루션이 문제없이 충분히 신뢰할 수 있는 보안 솔루션이라는 것을 증명하고 일반 기업 고객 확대를 위한 경쟁력으로 작용될 수 있는 장점이라고 할 수 있다. 이번 호에서는 이러한 CC인증 보안 솔루션의 도입과 구축을 고려하는 각 기관 및 기업의 보안담당자들에게 CC인증 솔루션의 장점을 소개하고 실질적인 가이드라인을 제시한다.  

보안 전문기업, CC인증으로 안전ㆍ신뢰성 제품 출시와 기업가치 상승
보안 전문업체에게 정보보호제품 평가는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 받아야 하는 과정으로 마치 규제인 것처럼 인식될 수 있다. 하지만 이강석 한국인터넷진흥원(KISA) 정보보호본부 공공정보보호단 보안성평가팀장은 “제품평가는 사람에 있어 건강검진과도 같은 것이다”며 “주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯 개발한 제품이 개발목적대로 만들어 졌는지, 취약성이 없는지를 평가전문기관에서 검증을 받아야 한다. 업체는 CC평가·인증 제도를 통해 안전·신뢰성이 보증(Assurance)된 제품을 시장에 출시함으로써 제품과 기업의 가치를 높이게 될 것”이라고 강조한다.
또한 CC인증은 국가 차원의 보안 통제와 지침으로 활용될 수 있고 고객이 신뢰할 수 있는 보안솔루션을 선택할 수 있도록 객관적인 자료를 제시하며 보안 제품을 검증하고 기술 개발을 독려하여 제품 경쟁력을 향상시킨다는 장점이 있다. 이로써 보안 시장을 활성화시키고 지속적으로 보안 기술을 발전시킬 것이며 아울러 국가 IT 보안의 수준을 향상시키는 등의 많은 긍정적인 효과를 낳을 수 있다.
보안 개념 확대로 CC평가·인증 제품 늘어
정보보호제품 평가·인증제도는 민간업체가 개발한 정보보호제품에 구현된 보안기능의 안정성과 신뢰성을 국가차원에서 보증해 사용자들이 안심하고 제품을 사용할 수 있도록 지원하는 제도로 국가정보원 IT보안인증사무국이 그 인증기관으로 중추적 역할을 담당하고 있다. 평가기관으로는 한국인터넷진흥원(KISA) 외에 2007년 하반기부터 한국산업기술시험원(KTL)과 한국시스템보증(KoSyAs)이 수행하고 있으며 올해 내에 2개 기관이 추가로 지정될 전망이다.
우리나라는 이 제도를 지난 1998년 2월부터 시행해 오고 있으며 2002년부터는 국제공통평가기준 CC(Common Criteria)에 따라 정보보호제품을 평가·인증하고 있다. 특히 IT보안인증사무국은 지난 3월 20일, 정보보호제품 평가기관 설립요건을 강화하고 평가자 자격관리를 보다 체계화하기 위해 ‘정보보호제품 평가인증 수행규정’을 개정하고 2009년 3월 20일부로 시행해 오고 있으며 이어, 지난 5월 21일에는 ‘국가·공공기관 정보보호제품 도입기준 및 절차’를 발표해 국가·공공기관에 납품되는 보안제품에 대한 도입기준을 명확히 한 바 있다.
CC평가·인증 완료된 정보보호제품 155건
그에 따른 KISA의 연도별 평가완료 건수를 살펴보면 지난 2003년부터 처음으로 어울림정보기술의 침입차단시스템 2개 제품에 대한 평가완료를 시작으로 2004년에는 9건, 2005년에는 17건, 2006년 20건, 2007년 20건, 2008년 33건을 평가완료했다. 이로써 2009년 8월 17일 현재, CC평가·인증 완료된 정보보호제품은 155건에 이른다.
이를 분석해 보면, 2000년대 초반 정보보호제품 평가대상은 침입차단시스템(Firewall)과 침입탐지시스템(IDS) 정도였으며 실제 평가완료한 보안업체는 2004년까지 불과 3개 업체(어울림정보기술-8개 제품, 퓨쳐시스템-2개 제품, 모보-1개 제품)뿐이었다. 하지만 현재는 네트워크보안, DB보안, PC보안, 보안USB 등 제품군을 분류하기도 어려울 정도로 다양해 졌고 보안업체는 100여개로 10배 가까이 증가했다.
또한 2007년도 하반기부터 KISA외에 평가기관으로 추가 지정된 KTL과 KoSyAs는 실제 2008년도부터 평가완료 건수가 나타났는데 2008년도에 각각 4건과 5건을 평가완료했고 2009년 8월 17일 현재 각각 11건과 13건을 평가완료했으며 5건씩을 현재 평가진행하고 있다. 아울러 KISA는 올해만 21건을 평가완료(2009.8.17 현재)했고 현재 12건을 진행 중이다.
특히 주목되는 것은 지난해 KISA-33건, KTL-4건, KoSyAs-5건으로 KISA에 집중된 반면 그나마 올해에는 KTL과 KoSyAs 평가완료 건수가 8월 현재 이미 3배에 가까운 건수를 보이고 있는 것이 눈에 띈다. 더구나 지난 7월 8일 현재 국내 3개 평가기관이 평가완료한 28건 및 평가진행 중이었던 18건에 비해 한달여가 지난 현재 45건에 22건이 평가완료·진행돼 보안에 대한 개념이 확대됨은 물론 정보보호제품에 대한 시장이 커졌음을 짐작하게 한다.
이에 이강석 KISA 보안성평가팀장은 “정보보호제품 평가는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 받아야 하는 과정으로 마치 규제인 것처럼 인식될 수 있다. 하지만 제품평가는 사람이 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯, 개발한 제품이 개발 목적대로 만들어졌는지, 취약성이 없는지를 평가전문기관에서 검증을 받아야 하는 것”이라며 “보안업체는 CC평가·인증 제도를 통해 안전·신뢰성이 보증된 제품을 시장에 출시함으로써, 제품과 기업의 가치를 높이게 될 것”이라고 밝혔다.
한편 보안업체 한 관계자는 “과거 CC평가·인증 제도가 정착되지 못한 상황에서 이 제도자체로 인해 기술력이 있음에도 영세한 업체들의 경우에는 비용이 만만치 않아 국가·공공기관에 제품을 납품하는 것을 포기해야 하는 상황이 발생했던 것이 사실”이라며 “하지만 현재 CC평가·인증 제도가 정착된 상황에서는 보안 제품의 안전 및 신뢰성을 높여 제품뿐 아니라 기업의 가치를 높이는데 업체는 힘을 기울여야 할 것이고 IT보안인증사무국과 같은 정부기관 등은 이에 대한 명확한 가이드라인을 제시해 주는 것이 필요”하다고 말했다.
Anti DDoS제품, CC인증에서 별도지정 제도로
앞서 밝힌 바와 같이 안전성이 확인되지 않은 정보보호제품은 국가·공공기관에 원천적으로 납품할 수 없다. 그런 점에서 Anti DDoS제품 역시 네트워크 정보보호 제품군으로 분류돼 CC인증을 득하지 못하면 국가·공공기관에 납품을 할 수가 없다. 그런 가운데 지난 7.7 DDoS대란은 기존 CC인증을 득해야 국가·공공기관에 납품될 수 있었던 Anti DDoS제품에 대해서 CC인증이 아닌 국정원으로부터 별도지정을 받으면 납품이 가능하도록 하는 결과를 낳았다.
국정원 IT보안인증사무국은 지난 7월 중순 경 DDoS 업체들에게 이메일을 통해 이와 같은 사실을 통보하고 별도지정 절차 및 별도지정 신청시 제출물 목록 등을 안내한 것. 지난 7월 9일 7.7 DDoS대란과 관련해 국무총리실장 주재로 대통령실, 국정원, 행안부 등 관계부처 차관들이 참석해 열린 차관회의에서는 추가 예산 200억원을 편성해 트래픽 분산 장비를 조기 확충한다는 등의 내용이 발표됨에 따라 이후 국가·공공기관에 Anti DDoS제품 수요는 늘 전망이지만 Anti DDoS제품에 대한 CC인증제도가 걸림돌이 되지 않을까 하는 우려에 대한 대응으로 해석할 수 있다. 실제로 이번 DDoS대란 전 행안부는 행안부를 포함한 3개 기관 13개 영역 인터넷 구간에 10억여원 규모로 DDoS 대응시스템 구축 내용을 담은 로드맵을 마련하고 조달청에 공고를 내 7월 중 사업계약을 맺을 계획으로 사업을 진행하고 있었다. 하지만 이 과정에서 CC인증을 득하고 있는 제품은 나우콤의 ‘스나이퍼 DDX’만이 유일한 상태였고 그나마 LG CNS에서 CC평가계약을 맺고 진행하고 있을 뿐이었다. 당시만 하더라도 국정원이 운영하고 있는 ‘CC인증·국가암호제품지정제도’에 따라 이 사업에는 이 두 업체만이 가능했던 것이다.
하지만 행안부는 7.7 DDoS대란이 발생하기 하루 전인 7월 6일, KISA에서 Anti DDoS업체 20여 곳이 참석한 가운데 사업설명회를 개최해 이번 사업에 CC평가계약을 체결한 업체 외에도 제품에 대한 품질과 성능테스트(BMT)를 마친 업체도 참여가 가능하다고 밝힌 것. 이는 이번 구축사업자 선정 전까지 CC평가계약을 체결할 수 있는 업체가 한정돼 좀 더 많은 업체들이 참여할 수 있도록 한 방편으로 풀이할 수 있겠다. 그렇지만 이는 엄밀히 말해 국정원의 정보보호제품에 대한 국가·공공기관 도입기준제도인 CC인증제도에 어긋난 것이라 할 수 있다.
그런 가운데 7.7 DDoS대란이 발생하고 국정원이 DDoS 제품에 대해 별도지정제도로 변경함에 따라 행안부가 KISA와 함께 추진한 정부기관 DDoS 대응체계 구축사업 우선협상대상자는 시스코 및 시큐아이닷컴의 제품을 제안한 에스넷시스템이 선정됐다. 우선협상대상자 선정에 대해 그 기준이 도마 위에 오르고 있다고는 하지만 어찌됐건 국정원의 DDoS제품에 대한 CC인증에서 별도지정제도로의 변경은 유효하게 작용한 셈이다.
Anti DDoS제품, 향후엔 CC인증 받아야
국정원 관계자는 “국가기밀 보호를 위해 국가기관에 도입하는 모든 정보보호제품은 CC인증 등을 통해 최소한의 안전성을 확인하는 것이 원칙”이라며 “다만, 국가안보 등을 위해 긴급 도입이 필요하나 CC인증 등 검증을 필한 제품이 없거나 극히 부족한 경우 일정조건이 갖추어진 제품에 한해 별도지정제도를 통해 선지정·후검증을 실시”할 것이라며 별도지정 제도에 대한 취지를 밝혔다. 그런 가운데 국정원 IT보안인증사무국은 지난 7월 20일 홈페이지를 통해 이미 CC인증을 득하고 있는 나우콤의 ‘스나이퍼 DDX’를 비롯해 CC평가계약을 체결하고 있던 LG CNS ‘세이프존 XDDoS’ 2개 국내업체·제품과 아버네트웍스·라드웨어·시스코 3개 국외 업체·제품을 ‘별도 지정제품’으로 우선 등재했다. 그리고 이어 7월 23일에는 퓨쳐시스템과 모젠소프트가 공공기관 수요에 발빠르게 대응하기 위해 ‘별도 지정제품’ 시험신청을 완료했으며 이어 컴트루테크놀로지 등이 순차적으로 ‘별도 지정제품’ 신청서를 제출해 현재 국정원에는 총 12개사가 신청(8월 18일 현재)한 것으로 알려지고 있다.
덧붙여 8월 18일 현재까지 IT보안인증사무국 홈페이지에는 나우콤과 LG CNS를 제외한 나머지 업체·제품에는 [시험중]이라고 표시돼 있는데 나우콤 및 LG CNS 제품은 CC인증 획득 또는 9월초 인증완료예정 제품이지만 ‘시험중’으로 표시된 시스코 등 3사 제품은 CC인증 미획득 및 안전성 시험을 진행중인 제품이기 때문이라는 것이 국정원 측의 설명이다.
한편 DDoS제품이 별도지정 제도로 변경됐다 하더라도 이 제품군에 대한 CC인증은 득해야 할 것으로 전망된다. 국정원 관계자는 “별도지정제품은 지정사유가 사안별 상이할 수 있어 향후 계획에 대해 획일적인 답변은 곤란하나 이미 DDoS장비는 향후 CC인증으로 일원화할 계획이며 그 시기는 관련업계 의견을 수렴 후 결정할 예정”이라고 밝혔다.

mini interview
이강석 한국인터넷진흥원 보안성평가단 평가서비스팀장

“정보보호제품 평가 인식의 전환 필요” 
국가·공공기관에 제품 납품위해 받는 규제처럼 인식하면 안돼

정보보호제품 평가기관인 KISA의 이강석 평가서비스팀장은 “정보보호제품평가란 사람이 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯 정보보호제품에 대한 건강검진과 같은 것”이라고 말한다. 정보보호제품 평가에 대한 인식의 전환이 필요하다고 말하는 이강석 KISA 보안성평가단 평가서비스팀장을 만나 직접 그에 대한 이야기를 들어봤다.
글 / 사진 : 김정완 기자(boan3@boannews.com)

우리나라 평가제도는 평가 선진국에 비해 단기간 내에 체계가 구축된 것으로 알고 있다. 이에 따른 문제점은 무엇인가?
영국·독일 등 유럽은 산업혁명 및 1차·2차 세계대전을 거치면서 건설감리에 대한 중요성을 깨닫게 되었고 체계적으로 발전시켜나갔다. IT의 발전과 더불어 건설감리는 자연스럽게 IT제품에 대한 보안성평가에 적용해 순조롭게 진행됐다. 그에 비해 우리나라는 평가 선진국의 다양한 평가제도를 연구해 1998년 2년이라는 짧은 기간 내에 독자적인 평가체계를 구축했다. 평가자는 평가방법론에 따라 평가하는 것도 중요하지만 의사가 환자를 진찰하듯 제품별 보안기능에 대한 특성을 분석하고 어떻게 평가할 것인지에 대한 노하우가 깊게 배어 있어야 한다. 또한 개발업체는 제품에 대한 문제점을 숨기는 대신, 환자가 의사한테 자신의 몸 상태를 설명하듯 제품에 대한 세부적인 기능을 설명하고 발견된 문제점을 보완해야 한다. 하지만 초기 평가는 이러한 평가자의 노하우와 개발업체의 인식차이로 어려움이 있었다.
‘건설감리’와 ‘정보보호제품 평가’와의 관계에 대해 상세히 설명한다면?
다리를 건설할 경우, 지나갈 차량의 대수·최대무게 등을 고려해 재료(나무, 콘크리트, 철제)와 강도(철제빔의 두께)를 산정한다. 다리가 완공되면 본래의 설계서와 동일하게 건설이 되었는지를 알아보기 위해, 시료를 채취하고 망치로 두드려 보는 등의 테스트를 하게 된다.
이것은 정보자산에 대한 보안위협(해킹, 정보노출)을 고려해 보안기능(해킹탐지 및 차단, 데이터 암호화)을 설계하고 설계서와 동일하게 구현되었는지를 시험하는 정보보호제품 평가와 동일하다. 참고로 영국·독일·프랑스는 각국의 보안성평가기준을 통합해 1991년 ITSEC을 개발했으며 미국(TCSEC)·캐나다(CTCPEC) 등과 평가기준을 통합해 오늘날의 국제공통평가기준(Common Criteria, ISO/IEC 15408)을 탄생시켰다.
‘정보보호제품 평가’란 무엇이라고 생각하는가?
정보보호제품 평가란 행인2와 같다. 정보보호가 정보화에 있어 자동차가 좀 더 빠르고 안전하게 달릴 수 있도록 보호해 주는 고속도로의 중앙분리대와 같다면 정보보호제품 평가는 연극의 행인2와 같은 존재이다. 개인정보보호, 인터넷 침해사고 예방·대응, 기업정보보호 등 주연급의 업무들 사이에서 효과성이나 성과가 확연하게 드러나지 않으면서 평가기간·비용·적체 등의 현안이 항상 동행하고 있다. 하지만 평가·인증받은 제품은 국가·공공기관이 믿고 도입할 수 있도록 하고 있으며 개인정보보호, 인터넷 침해사고 예방·대응, 기업정보보호 등을 위한 효과적인 대책으로써 그 역할에 충실하고 있다.
정보보호제품 평가를 받는 업체 관계자들에게 하고 싶은 말이 있다면?
일반적으로 정보보호제품을 개발하는 업체는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 평가·인증을 받아야 하는 과정으로 마치 규제인 것처럼 인식된다. 정보보호제품평가란 사람이 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯 정보보호제품에 대한 건강검진과 같은 것이라고 생각한다. 개발한 제품이 개발목적대로 만들어 졌는지, 취약성이 없는지를 평가전문기관에서 검증을 받고 제품의 안전·신뢰성을 보증(Assurance) 받은 제품을 시장에 출시함으로써 제품과 기업의 가치를 제고하고 고객에 대한 만족도 제고를 위한 자발적인 사항이 되어야 한다.
평가사업을 진행하는 담당자로서 느끼는 보람이 있다면?
평가서비스팀은 고객인 평가신청업체와 최접점에서 호흡하는 팀이다. 기본적으로 하루에도 한개 업체 이상이 전화 또는 방문하고 있으며 팀장이 직접 평가관련 상담을 해 주고 있다. 평가상담을 하면서 정보보호 기술과 시장동향을 접할 수 있고 다양한 업체의 애로사항을 들으면서 어떻게 평가사업이 변해야 할지를 고민하게 되고 발전방향에 대한 아이디어를 얻게 된다. 평가자들은 마치 아기를 잠시 맡아 키우다가 떨어질 때의 아쉬움을 느끼는 보모와 같이 자기가 맡아 평가한 제품에 대한 자부심이 대단하다.
평가를 받은 대다수의 업체들은 평가를 받고 난후 제품의 보안성 향상·기능의 안전성 제고 등에 대해 긍정적인 평가를 내리고 있으며, 특히 내부 개발과정이 체계화됨에 따라 경영여건이 안정화 되었다는 업체의 이야기를 들을 때면 가슴이 뿌듯해진다.
마지막으로 향후 평가서비스에 대한 방향은?
우선 지속적인 평가서비스 확대해 갈 계획이다. 많은 개발업체들이 평가제출물을 준비하는 과정에서 어려움을 호소하고 있으며 평가비용 외에 컨설팅 비용과 전담인력 투입 등으로 부담스러워 하고 있다. 제출물 작성법 교육, 온라인 교육·제출물자가 점검시스템 등 다양한 서비스를 제공하고 있지만 개발업체 입장에서는 아직도 어렵게 느껴지는 것 같다.
평가제출물은 평가자가 개발제품을 이해하기 쉽도록 일정한 틀(평가기준, 평가방법론)에 맞게 작성할 것을 권고하고 있다. 즉 개발업체는 평가자가 제품을 이해하기 쉽도록 쉽고 간결하게 작성해야 평가자도 제품에 대한 이해도가 높아진다. 하지만 평가기준이나 평가방법론을 이해하지 못하면 장황한 서술이 되고 작성할 문서의 양은 많아지게 된다.
이러한 업체들의 사정을 감안해 제출물을 쉽고 간결하게 작성하는 방법을 제시할 필요가 있다. 하반기에는 이러한 작성샘플을 만들어 업체에 제공할 예정이다. 평가가 어렵지 않고 쉽게 다가설 수 있도록 다양한 서비스를 구축하고 있으며 앞으로도 지속적으로 개선해 나갈 것이다. 아울러 정보보호제품 평가의 우수성 홍보에 힘을 기울일 것이다. 국내 보안시장은 아직도 공공시장에 많은 의존도를 보이고 있다. 그렇기 때문에 평가에 대한 의존도가 높아지게 되고 어쩔 수 없이 통과해야할 관문으로 생각한다. 평가를 받게 되면 제품에 대한 보안성 및 안전성 향상 외에 업체의 이미지 제고 등 다양한 효과가 있음에도 아직까지 이러한 인식이 부족하다. 평가의 다양한 효과와 장점을 도출하고 평가받은 제품이 공공시장 뿐만 아니라 민간시장에서도 인정받을 수 있도록 다양한 경로를 통해 홍보에 노력할 것이다.
<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제109호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>