'IT보안인증사무국'에 해당되는 글 1

  1. 2011/01/21 일관성 없는 정보보호제품 평가·인증제도

사용자 삽입 이미지

국가정보원 IT보안인증사무국이 새해 들어 국가기관에 도입되는 정보보호 제품 등에 적용해온 보안성 검증제도를 대폭 흔들었습니다. (관련기사)

이번 변경으로 우리나라 정보보호 제품 평가·인증, 보안적합성검증제도는 사실상 지난 2006년 5월 공통평가기준상호인정협정(CCRA)에 우리나라가 가입하기 이전 상황으로 돌아갔습니다.

정보보호제품 인증기관인 국가정보원과 당시 평가정책 주무부처였던 정보통신부는 지난 2004년 9월 CCRA 가입 신청을 한 뒤, 2005년 5월에 정보보호 제품 평가·인증제도를 CC로 일원화한다는 방침을 수립했습니다. 평가대상도 방화벽, 침입탐지시스템, 운영체제보안솔루션 등 6종에서 정보보호 제품 전체로 확대했습니다.

물론 CCRA 가입으로 인한 평가적체와 혼란, 업계의 부담이 가중되면서 지난 2009년까지 꾸준히 이같은 문제를 해소하기 위해 정보보호 제품 평가인증제도와 국가기관 도입절차를 손질해 왔습니다. 그 과정에서 해외에서는 인정되지 않는 ‘국내용 CC’란 제도도 생겼지요.

그런 측면에서 이번 국정원의 ‘보안적합성 검증제도 개선’은 그 완결판이라고 할 수 있겠습니다.

제도가 계속 변경되면서 정보보호 제품의 국가기관 도입 절차가 한층 간소해지고, 업계의 부담이 한층 덜어지게 된 것이 사실입니다.

이번에 평가대상으로 지정된 25개 정보보호 제품 중 스마트카드만 제외하면 EAL(평가보증등급)2 등급의 CC인증을 받으면 국가기관에 납품할 수 있습니다. 예전에는 비교적 높은 등급인 EAL3+, EAL4가 기준이었고, 2008년에 대거 한단계씩 낮춰 업체들을 평가제출물을 간소화시켰습니다. 이제는 EAL2가 기준이 됐습니다.

또 국내용 CC인증이나 암호검증을 받은 정보보호 제품은 국가기관에 설치된 후에 보안적합성 검증을 다시 받을 필요가 없게 됐습니다. 보안적합성 검증도 제품마다 딱 한번만 받으면 됩니다.

이번 제도 변화가 효율성과 편의성 측면에서는 긍정적일 수 있겠습니다. 그러나 장기적으로 정보보호 산업계와 국가 정보보호 수준제고에 어떤 좋고 나쁜 영향을 미칠지는 의문입니다.

현재 시점에서는 사실 CCRA 가입을 준비하면서 5년 전에 엄청난 혼란을 겪으며 제도를 전혀 새롭게 바꿨던 과정이 의미 없게 느껴지기도 합니다.

CCRA 가입과 CC 평가인증제도 시행에 관해 국가정보원은 “국제수준에 부합한 평가체계를 갖추게 된 것”이라는 의미를 부여했었습니다. 글로벌 수준에 맞는 평가체계 운영으로 정보보호 제품의 품질과 안전성을 더욱 높임으로써 결과적으로 산업 경쟁력과 활성화를 높일 수 있게 될 것이라는 겁니다. 당연히 수출에도 도움이 될 것이고 그 평가체계를 기반으로 안전성과 신뢰성을 확보한 정보보호 제품을 쓰는 국가기관의 보안수준을 높이는 데에도 큰 역할을 할 것이란 논리를 갖고 있었습니다.

국내용 CC를 만들어 평가·인증제도를 이원화하는 것을 기점으로 계속된 제도 변화는 여러 면에서 국정원 스스로 CCRA 가입 취지를 무색하게 만들었고 제도의 정합성을 잃어버리고 있다고 평가합니다.

국내용 CC의 평가방식은 갈수록 ‘진짜’ CC와 멀어지고 있다는 점을 업계의 인증담당자들도 인정하고 있습니다.

작년에도 정보보호 제품 평가기관을 담당하는 한국인터넷진흥원(KISA)에서 평가방식을 변경해 한단계 더 앞으로 나아갔었지요. 제출문서 평가는 대폭 간소화하고 취약점 점검 중심으로 변화됐습니다. (관련기사 정보보호 제품 국내용 CC평가 수수료 줄인다, KISA, 정보보안 제품 평가제도 변경 추진)

이번에는 더 심해졌습니다.

국내용 CC와 국가용 암호제품은 이제 보안적합성 검증을 받지 않아도 된답니다. ‘국내용이 아닌’ CC를 받은 제품은 보안적합성 검증을 받아야 한다는 의미가 숨겨져 있는 것으로 풀이됩니다. 외산 제품들은 받아야 한다는 것이겠죠.

또 국내용 CC가 만들어진 후, 가뜩이나 국산 제품들은 국내용 CC만 받고 있는데요. 이 정책 때문에 보안적합성 검증을 한번 더 거치지 않기 위해서라도 업체들은 국내용 CC를 받고자 할 것입니다.

지금까지 ‘수출’과 CC 제도와는 아무런 연관성이 없었다는 의미로도 해석될 수 있겠습니다.

한가지 더 의아한 점이 있습니다. 보안적합성 검증제도 변화와 관련한 점인데요. 국정원은 이번에 1년 반 전에 폐지했던 검증필 제품목록을 부활시켰습니다.

지난 2008년 6월부터 ‘선 도입 후 검증’정책을 시행하면서 국정원은 보안적합성 검증은 ‘운용상 잠재할 수 있는 보안취약점을 개선하는 절차’로 운영해 왔습니다.

CC인증 제품에 한 해 국가기관이 제품을 도입할 수 있도록 하고, 해당 제품이 설치된 운영환경 전체를 검증을 신청토록 바꿨던 방침을 이번에 전면 수정한 것입니다. 다시 제품별 검증체계로 돌아왔습니다. 그렇다면 앞으로는 국내용 CC 대상 25개 제품이 아니거나 국가암호제품으로 등재되지 않는 제품은 도입 전에 제품별로 보안적합성 검증을 받아야 하는 걸까요?

그렇다면 앞으로는 국가기관에서 나타날 수 있는 운용상의 취약점 점검은 시행하지 않는 것인가요?

국정원 IT보안인증사무국은 좀 더 명확하고 구체적인 절차를 내놓을 필요가 있습니다.

사실 국정원의 보안성 검증 관련제도는 이전에도 일관성 없는 정책이 도마에 올랐었습니다. 가까운 일은 지난 2009년 7월 7일부터 3일 간, 7.7 DDoS(분산서비스거부) 공격 사고가 발생한 뒤에 DDoS 대책을 수립하면서 DDoS 대응 장비에 적용했던 ‘별도지정’제도 때문이었습니다. (참고하세요) 그 별도지정 제도도 이번에 폐지했습니다.

이번 건으로 또 다시 일관성 없는 정책을 운영하고 있다는 비판이 제기될만합니다.

성균관대 김승주 교수도 같은 문제를 지적합니다. 국정원이 일관성 없이, 예측 가능하지 않게 정보보호 제품 평가·인증 제도를 운영하고 있다는 점입니다. 앞서 쓴 기사에 언급한 내용입니다.

성균관대 김승주 교수는 “정부가 제도를 만들고 운영할 때에는 일관성과 예측가능성이 중요한데, CC 등 정보보호 제품 보안성검증제도는 이 두가지 기본원칙이 전혀 지켜지지 않고 있다”며, “이번에 변경한 제도는 국가기관의 보안이라는 당초 운영 취지보다는 업계의 편의성과 부담을 해소하는 것에 맞춰졌지만, 오히려 시장을 교란할 수 있다”고 지적했다.

김 교수는 “처음 CC제도를 시행하면서 대상 제품을 6개로 운영해오다 IT 전 제품으로 확대했다 이번에 다시 25개 정보보호 제품으로 한정했다. 기본적으로 일관성에 문제가 있다”고 말했습니다.

이어서 “향후 국정원은 CC 대상을 추가할 수 있다고만 밝혔는데, 현재 존재하지 않은 신기술을 개발했거나 새로운 사업을 할 경우엔 어떤 제도를 따라야 하는지 모를 수 있다”고 덧붙였습니다.

보안적합성 검증에 대해서도 김 교수는 “보안적합성 검증제 운영 취지는 국가기관의 보안성이지, 업계의 편의성을 봐주는데 있는 것이 아니다”라고 일침을 가했습니다. 더불어 “공공기관의 모바일 업무환경 도입에는 보안을 문제로 완강한 입장을 보이는 국정원이 맞지 않은 모습을 보이고 있다”며, 사안별 방침에 대한 일관성 부족도 지적했습니다.

무엇보다 김 교수는 “정보보호 제품 평가·인증 제도는 예전 그대로 돌아왔다”고 일갈했습니다.

작년 G20 의장국 지위를 가졌던 우리나라, 한·미 FTA 한·EU FTA 체결에 적극적으로 나서면서 글로벌 위상, 해외 수출에 힘쏟는 우리나라가 이 문제도 진지하게 고민해봐야 하지 않을까요...?


2011/01/21 16:44 2011/01/21 16:44