CC인증 취소 제품, 인증 제품 목록에서 삭제...일부 계속 사용 문제
인증 취소 제품은 도입기관에 공지하고 대체 제품 도입 유도해야

[보안뉴스 김태형] 공공기관이나 금융관리기관의 보안 시스템 구축에 사용되는 정보보호제품은 국가기관의 평가인증, 즉 CC인증을 받은 제품을 사용하도록 의무화하고 있다.

CC인증은 보안업체에 보안솔루션에 대한 보안성 검증 수단을 제공하고 국가·공공기관 보안담당자에게 적합한 보안솔루션을 선택할 수 있는 객관적인 기준을 제시함으로써 제품의 경쟁력을 향상시키고 신뢰할 수 있는 보안 솔루션이 국가·공공기관에 도입될 수 있도록 하기 위해 시작된 제도다.

하지만 이를 도입해 사용해야 하는 공공기관 및 금융기관의 보안담당자들은 CC인증을 받은 제품과 CC인증이 취소된 제품이 어떤 제품인지, 또 어떤 보안제품을 도입하고 사용해야 되는 것인지 잘 모르거나 CC인증이 취소된 줄도 모르고 그 제품을 계속 사용하기도 하는 문제가 있는 것으로 지적됐다.

특히, CC인증이 없는 제품이나 인증이 취소된 제품인지 모르고 계속 사용하는 경우에는 보안사고의 위험이 더 높아질 수 있기 때문에 CC인증 제품과 인증이 취소된 제품에 대한 관리 소홀로 인한 부작용 문제를 개선할 필요가 있다는 지적이 있다.

이와 관련 국가보안기술연구소 평가인증담당 관계자는 “CC인증을 획득한 보안제품들 중에서 인증이 취소되는 경우가 종종 있다. 그 이유는 거짓 또는 부정한 방법으로 평가인증을 받았거나 인증서 효력정지 처분을 받고도 그 기간 내에 인증제품을 판매한 경우, 그리고 인증제품이 타사의 지적재산권을 침해한 경우와 인증서 효력정지 처분기간 내에 효력정지 사유에 대한 시정조치를 수행하지 않은 경우 등에는 정보보호제품 평가인증 수행규정에 의거해 CC인증이 취소된다”고 설명했다.

그렇다면 이렇게 CC인증이 취소된 제품에 관한 정보는 공개해야 하지 않을까? 이에 대해 관계자는 “CC인증 취소 제품은 IT보안인증사무국 홈페이지(www.itscc.kr)에 있는 인증제품 목록에서 CC인증이 취소된 제품의 목록을 삭제하고 있으며 이를 별도로 공개하지 않는다”고 말했다.

그럼 CC인증이 취소된 제품을 사용하고 있는 기관에 대해서는 어떤 조치가 취해질까? 이와 관련 그는 “CC인증이 취소된 제품은 해당 업체가 최소 사실을 도입한 기관에 개별 통지해야 한다”면서 “그리고 CC인증이 취소된 제품을 대체하는 상위 버전의 CC인증 제품의 설치를 유도해야 한다. 만약 이를 대체하는 제품의 설치가 불가능한 경우, 홈페이지 공지를 원칙으로 하고 있지만 현재까지 그런 사례는 없었다”고 덧붙였다.

즉, CC인증이 취소되면 해당 정보보호업체는 이를 도입한 기관에게 통지하고 상위 버전의 CC인증 제품으로 재도입을 유도해야 한지만, 이러한 내용을 도입기관에 통보하거나 공개적으로 알리는 업체가 없다는 것이 문제다.

정보보호업체의 한 관계자는 “CC인증을 받은 제품이 중간에 인증이 취소되는 경우는 거의 없는 일이다. 만약 인증이 취소됐다고 해도 이를 공개하거나 도입기관에 알리지 않는다”면서 “또 어떤 사유로 인해 CC인증 없는 제품으로 몇 개월 유지될 수도 있는데, 이러한 경우에도 몇 개월 후에 해결될 문제라고 여기고 도입기관에 알리지 않는다”고 말했다.

이어서 그는 “특히, 공공기관의 경우 CC인증 제품을 도입하고 1년간은 무상 유지보수 기간이다. 이 기간에 해당 제품에 문제가 있어 CC인증이 취소되면 업그레이드 버전으로 바꿔달라고 기관에서 먼저 요구하기도 한다”고 덧붙였다.

이와 같이 CC인증이 취소된 제품에 대한 관리와 정보 공개는 거의 없다. 이에 대한 체계적인 관리와 정보공개를 통해 정보보호 제품에 대한 신뢰를 높일 필요가 있다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>