하위버전 강요하는 어이없는 `국가 CC인증`

안전하고 최신방어 가능해도 CC인증 없다고 구형버전 요구

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


#. 대규모 정보시스템의 보안을 책임지고 있는 한 대기업 정보보안책임자 A씨는 자사 결제서비스 부문에 대해 최근 금융당국이 진행하는 '보안성평가'를 받았다. 사이버공격이 점차 고도화되고 예상치 못했던 침해사고가 종종 발생하는 터라 A씨는 최신 해킹 방어기술을 결제시스템에 도입했던 참이다. 그런데 조사를 하던 금융당국은 A씨에게 '주의' 경고를 내렸다. 이유는 A씨가 최근 구축한 최신 해킹방어솔루션이 금융권 시스템 운영 지침상 준수하도록 돼 있는 '국가 CC인증'을 획득하지 못했기 때문이다. 당국은 A씨에게 "해당 솔루션을 그대로 사용하려면 CC인증이 있는 하위 버전으로 다운그레이드(하향 재구축)하라"고 권고했다.

국가 시스템의 보안을 강화하고 안전하게 사용할 수 있도록 정부가 직접 인증하는 공통평가기준(이하 CC인증)이 보안제품 구매 현장에서는 엇박자를 내고 있어 논란이다.

29일 업계에 따르면 CC인증이 있는 제품이 최신 기술 경향을 반영하지 못해 발주자의 요구를 맞추지 못하는 사례가 적지 않은 것으로 나타났다.

CC인증은 국가가 보안성검증을 통해 보안 제품의 '안전함'을 담보하는 것이기 때문에 반드시 필요한 제도다. 특히 지난해 '스노든 사태'로 우방 국가의 사이버 감시 행태가 드러나면서 정부의 CC인증 제품에 대한 신뢰도는 더욱 높아지고 있다. 때문에 CC인증을 반드시 필요로 하는 국가 공공기관 외에도 금융권이나 대기업에서는 보안 제품 입찰에 CC인증을 요구하기도 한다.

그런데 CC인증 제품에 대한 수요가 늘어날 수록 CC인증의 정확성이나 기술 반영에 대한 불만은 커지고 있다.

익명을 요구한 보안업체 대표 B씨는 "올 상반기 진행됐던 정부 보안프로젝트에 CC인증 여부가 당락을 결정한 사례가 있었다"면서 "동일 종류의 보안 소프트웨어인데, 지원 종료돼 보안 위협이 큰 윈도XP 버전으로 개발된 제품엔 CC인증이 있고, 최신 운영체제인 윈도7용 버전은 인증이 없다는 이유로 윈도XP용 제품이 선정되는 기이한 현상이 일어났다"고 설명했다.

최신 버전이라고 보안 취약점이 없다는 보장은 없다. 구 버전이라 하더라도 보안성 검증이 됐다면 보다 안전한 제품을 선택하고자 하는 것이 발주자나 구매자들의 특징이다. 하지만 대기업 정보보호책임자 A씨나 보안업체 대표 B씨가 말하는 사례는 이와는 거리가 있다. 누가 봐도 더 안전하고 최신 방어가 가능한데도 CC인증이 없다는 이유로 구매할 수 없고 구형 버전 사용을 강요당하는 것이 운영책임자 입장에서는 달갑지 않다는 것이다.

그렇다고 CC인증을 허술하게 해 최신 기술에 '묻지마 인증'을 내 주는 것은 국가 보안체계를 흔들 수 있다. 신중하고 엄격하게 인증하되 자체적인 인증 수준 향상 노력이 필요하다는 지적이다.

보안 전문가는 "보다 엄격한 기준으로 CC인증을 엄중하게 수행하되, 빠르게 변화하는 보안 기술 동향을 시의 적절하게 수용할 수 있을 만큼 CC인증 수행 조직이나 인력, 기술 수준이 업그레이드 되어야 한다"고 강조했다.

강은성기자 esther@




[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


가장 많이 본 기사