국정원, 잘못된 ‘국가·공공기관 정보보호제품 도입기준’ 바로잡아야
국가정보원 IT보안인증사무국의 별도지정제도가 주목받게 된 것은 지난 7.7DDoS대란으로 DDoS제품을 별도지정제품으로 한 때문이다. 물론 별도지정제도에 초점이 맞춰진 것이 아니라 DDoS제품이 주목을 받았다. 그러다 보니 별도지정제도 자체가 마치 DDoS제품 때문에 탄생한 것으로 알려지는 오해가 생겼다.
국정원은 지난 6월 1일부로 국가·공공기관 도입 정보보호제품 CC인증 일원화와 관련해 도입기준을 확정해 ‘국가·공공기관 정보보호제품 도입기준 및 절차’를 발표했다. 그 내용은 기존 ‘검증필 제품목록’은 2009년 6월 1일부로 폐지하고, 이후부터는 국가·공공기관은 CC인증 획득 제품을 도입하는 것을 원칙으로 한다는 것이었다. 이중에는 예외사항으로 보안기능이 단순한 저장자료 완전삭제 제품군과 모바일기기 보안제품군에 대해서는 CC인증을 요구하지 않고 국정원장이 안전성을 확인한다는 내용을 담고 있으며, 당시 ‘BMCore v2.0’이란 저장자료 완전삭제 제품으로 에스엠에스는 6월 1일 이미 별도지정제품으로 지정됐다.
즉 국정원은 이미 DDoS제품 이전에 ‘별도지정제품’을 마련하고 있었던 것. 하지만 ‘별도지정제도’는 국정원이 지난 8월, “국가안보 등을 위해 긴급 도입이 필요하나 CC인증 등 검증을 필한 제품이 없거나 극히 부족한 경우 일정조건이 갖추어진 제품에 한해 별도지정제도를 통해 선지정·후검증을 실시한 것”이라고 취지를 설명했지만, 이는 기존 ‘별도지정제품’으로 지정돼 있는 저장자료 완전삭제 제품군과는 상당한 차이가 있는 부분이다.
더구나 국정원은 최근 별도지정제도로 지정한 DDoS제품을 몇 달도 되지 않아 CC인증을 받아야 한다고 밝혀 관련 업계에서 ‘DDoS 별도지정제도 무용론’이란 지적을 받아오고 있기도 하다.
분명 국정원은 저장자료 완전삭제(S/W, H/W 모두 포함) 제품에 대해 별도지정제품으로 지정하고, CC인증과 검증필 암호모듈은 받지 않아도 된다고 했음에도 불구하고 처음으로 지난 6월 1일자로 별도지정한 에스엠에스의 저장자료 완전삭제 제품에 대해서는 동월 30일에 다시금 CC인증 제품으로 인정을 내주고, 최근인 지난 12월 18일에는 파이널데이터의 ‘FINALeRASER V2.0’에 대해서는 별도지정제품을 받지 않은 채 바로 CC인증으로 인증을 내줘 CC인증 목록에 올렸다.
이와 관련해 국정원 측은 “굳이 받지 않아도 되는 저장자료 완전삭제 제품임에도 불구하고 업체에서 원해서 CC인증을 준 것”이라고 설명했지만, 이는 국정원의 국가·공공기관 정보보호제품 도입기준에도 맞지 않을 뿐만 아니라 한 업체의 요구에 따라 CC인증을 내주었다는 것은 더욱더 어처구니가 없는 답변이다.
정보보호제품 평가·인증제도는 민간업체가 개발한 정보보호제품에 구현된 보안기능의 안전성과 신뢰성을 보증해 사용자들이 안심하고 제품을 사용할 수 있도록 지원하는 제도로 마련한 것이다. 외산 글로벌 기업으로부터 국내 기업을 보호하기 위한 취지는 일단 뒤로하고 별도지정제도만을 보더라도 현재 국정원이 진행하고 있는 정보보호제품 평가·인증제도는 너무 안일한 점이 있어 우려된다.
별도지정제품으로 지정한 저장자료 완전삭제 제품의 첫 단추가 잘못 끼워진 것이다. 그럼에도 국정원은 잘못 끼운 단추였음에도 불구하고 이후 다른 단추들도 계속해서 끼워 첫 단추와 최근의 마지막 단추는 CC인증을, 그리고 중간에 10여개 업체들에는 별도지정제품으로 등록시켰다. 이미 별도지정을 받은 업체들은 CC인증을 받은 업체의 영업력 등에 뒤쳐지지 않기 위해서라도 비용·시간이 많이 들더라도 CC인증을 받아야 한다는 것을 국정원은 알고 있을까? 분명 알고 있으리라 생각한다. 그럼에도 국정원은 왜? 국정원은 이제라도 잘못된 정보보호제품 평가·인증 체계를 바로 잡아야 할 것이다.
거듭 국정원은 CC인증으로 가지 않고 별도지정제품으로 간 데이터 완전삭제 제품이 보안기능이 단순하다고 해 쉽게 간과하는 것은 아닐 테지만, 그로 인해 전체 CC인증 체계 자체가 무너질 수도 있다는 것을 잊어서는 안 될 것이다.
[김정완 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
