국제공통평가기준(CC) 기반의 정보보호시스템 평가ㆍ인증의 활성화가 시급한 것으로 지적되고 있다.
27일 관계자들에 따르면 이달 말로 정보통신부가 방화벽ㆍ침입탐지시스템(IDS)ㆍ가상사설망(VPN) 등의 평가에 CC를 적용한지 만 1년이 되지만, 현재까지 이를 기반으로 인증을 획득한 정보보호시스템은 단 하나도 없다. CC 평가를 위한 기준이라 할 수 있는 각 정보보호시스템에 대한 보호프로파일(PP)이 지난해 3분기 이후 나왔고, 현재 2개 업체의 3개 제품에 대한 평가가 진행중임을 감안한다 해도, 기존 정보보호시스템에 대한 평가ㆍ인증인 K시리즈의 시행 초기와 비교할 때 기대에 크게 못 미친다는 게 전문가들의 중론이다.
더욱이 현재 평가를 받고 있는 일부 VPN 제품을 제외하면 대부분의 보안업체들이 여전히 K시리즈를 선호하고 있어, CC 평가ㆍ인증을 통해 국내 정보보호 제품을 국제 수준으로 끌어올리겠다는 당초 취지 역시 살리지 못하고 있다는 목소리가 높다.
CC 평가ㆍ인증이 활성화되지 못한 것은 기존 K시리즈에 비해 인증 획득의 필요성이 절박하지 않기 때문이라는 게 전문가들의 분석이다. 정부가 CC 인증과 K시리즈를 병행하고 있어 반드시 CC 인증을 받아야만 하는 VPN을 제외하면, 이미 K시리즈 인증을 받아 영업에 문제가 없는 방화벽과 IDS 등은 굳이 CC 인증을 다시 받을 필요가 없다는 것이다. 여기에다 우리나라가 아직 상호인정협정(CCRA)에 가입이 안돼 있어 국내에서 CC 인증을 받는다 해도 해외 진출에 별 도움이 안 될 것이라는 판단도 한 몫을 한 것으로 풀이된다.
이에 따라 정통부와 CC 평가를 담당하고 있는 한국정보보호진흥원(KISA)은 하반기부터 CC 평가ㆍ인증 대상을 지문인식 제품과 스마트카드 칩 및 애플리케이션, 시큐어OS 제품으로까지 확대하겠다는 계획이다. 동시에, 현재 정보보호시스템 평가ㆍ인증제도 개선 전문가그룹을 중심으로 진행중인 연구결과가 나오는 대로 CCRA 가입일정과 K시리즈 병행여부를 비롯, 현행 정보보호시스템 평가ㆍ인증제도의 전면적인 재검토 작업에 착수한다는 방침이다.
평가 대상 확대의 경우 현재 국가정보원과 협의를 진행하고 있으며, 빠르면 다음달 중으로 공청회를 개최해 정보보호시스템 평가ㆍ인증지침에 대한 개정 고시가 있을 예정이다. 그러나 당초 다음달 중 나올 예정이던 정보보호시스템 평가ㆍ인증제도 개선 전문가그룹의 연구결과는 다소 늦어질 것으로 알려지고 있다.
한편 현재 KISA와 CC 평가를 진행중인 어울림정보기술과 퓨쳐시스템의 3개 제품에 대한 CC 인증은 빠르면 9월말 정도에 나올 것으로 보인다. 또 시큐아이닷컴ㆍ센터비전ㆍ퓨쳐시스템ㆍ시큐어소프트ㆍ인프니스 등 5개 업체의 5개 제품에 대한 CC 평가 자문이 진행중이다.
한민옥기자
27일 관계자들에 따르면 이달 말로 정보통신부가 방화벽ㆍ침입탐지시스템(IDS)ㆍ가상사설망(VPN) 등의 평가에 CC를 적용한지 만 1년이 되지만, 현재까지 이를 기반으로 인증을 획득한 정보보호시스템은 단 하나도 없다. CC 평가를 위한 기준이라 할 수 있는 각 정보보호시스템에 대한 보호프로파일(PP)이 지난해 3분기 이후 나왔고, 현재 2개 업체의 3개 제품에 대한 평가가 진행중임을 감안한다 해도, 기존 정보보호시스템에 대한 평가ㆍ인증인 K시리즈의 시행 초기와 비교할 때 기대에 크게 못 미친다는 게 전문가들의 중론이다.
더욱이 현재 평가를 받고 있는 일부 VPN 제품을 제외하면 대부분의 보안업체들이 여전히 K시리즈를 선호하고 있어, CC 평가ㆍ인증을 통해 국내 정보보호 제품을 국제 수준으로 끌어올리겠다는 당초 취지 역시 살리지 못하고 있다는 목소리가 높다.
CC 평가ㆍ인증이 활성화되지 못한 것은 기존 K시리즈에 비해 인증 획득의 필요성이 절박하지 않기 때문이라는 게 전문가들의 분석이다. 정부가 CC 인증과 K시리즈를 병행하고 있어 반드시 CC 인증을 받아야만 하는 VPN을 제외하면, 이미 K시리즈 인증을 받아 영업에 문제가 없는 방화벽과 IDS 등은 굳이 CC 인증을 다시 받을 필요가 없다는 것이다. 여기에다 우리나라가 아직 상호인정협정(CCRA)에 가입이 안돼 있어 국내에서 CC 인증을 받는다 해도 해외 진출에 별 도움이 안 될 것이라는 판단도 한 몫을 한 것으로 풀이된다.
이에 따라 정통부와 CC 평가를 담당하고 있는 한국정보보호진흥원(KISA)은 하반기부터 CC 평가ㆍ인증 대상을 지문인식 제품과 스마트카드 칩 및 애플리케이션, 시큐어OS 제품으로까지 확대하겠다는 계획이다. 동시에, 현재 정보보호시스템 평가ㆍ인증제도 개선 전문가그룹을 중심으로 진행중인 연구결과가 나오는 대로 CCRA 가입일정과 K시리즈 병행여부를 비롯, 현행 정보보호시스템 평가ㆍ인증제도의 전면적인 재검토 작업에 착수한다는 방침이다.
평가 대상 확대의 경우 현재 국가정보원과 협의를 진행하고 있으며, 빠르면 다음달 중으로 공청회를 개최해 정보보호시스템 평가ㆍ인증지침에 대한 개정 고시가 있을 예정이다. 그러나 당초 다음달 중 나올 예정이던 정보보호시스템 평가ㆍ인증제도 개선 전문가그룹의 연구결과는 다소 늦어질 것으로 알려지고 있다.
한편 현재 KISA와 CC 평가를 진행중인 어울림정보기술과 퓨쳐시스템의 3개 제품에 대한 CC 인증은 빠르면 9월말 정도에 나올 것으로 보인다. 또 시큐아이닷컴ㆍ센터비전ㆍ퓨쳐시스템ㆍ시큐어소프트ㆍ인프니스 등 5개 업체의 5개 제품에 대한 CC 평가 자문이 진행중이다.
한민옥기자
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0