우리나라의 국제공통평가기준상호인정협정(CCRA) 가입이 상반기 안에 이뤄질 것으로 예상되는 가운데 국내 정보보호 제품의 평가·인증 체계가 크게 개선될 전망이다.
국가정보원 IT보안인증사무국은 지난달 7일 열린 ‘정보보호 제품 평가·인증 정책 설명회’에서 ▲평가대상 전체 정보보호 제품으로 확대 ▲보안 기능별 선택적 평가 신청제 도입 ▲인증서 유효기간 폐지 ▲인증제품 관리감독 강화 ▲평가 수수료 변동제 실시 ▲국가기관 제품 도입 시 인증 후 보안적합성 평가 절차 의무화 등 바뀐 정책을 설명했다. 이에 따라 CC평가인증 절차와 방식은 한결 편해지지만 관리감독 체계와 국가기관 도입 절차가 크게 강화될 전망이다.
국가정보원은 이날 설명회에서 “상반기 중 우리나라의 CCRA 가입이 이뤄질 것으로 예상되는 상황에서 정보보호 제품 평가인증 제도를 국제 협약인 CCRA의 요구사항에 맞는 체계로 전환하는 한편, 보다 현실적이고 효율화된 인증 절차와 방식을 도입하는 방향으로 꾸준히 개선할 것”이라고 밝혔다.
전체 정보보호 제품으로 평가 대상 확대
핵심적으로 변화된 평가인증 정책은 평가대상, 평가신청 및 평가방법을 모두 포괄한다. 전반적으로 평가체계가 기존보다 효율화되지만 인증제품 관리체계가 한층 강화돼 평가 후 제품을 규정대로 제대로 관리하지 못할 경우 인증이 취소되는 사례도 나타날 것으로 예상된다.
먼저 이미 기존 방화벽, VPN, IDS, IPS, 지문인식, 운영체제 보안제품, 스마트카드 등 기존 6종의 평가대상 제품이 전체 정보보호 제품으로 확대되었다. 그리고 CCRA 협정문에 따라 신청인이 평가보고서를 열람하거나 제공하겠다고 요구할 경우 보안목표명세서와 인증보고서를 인증기관 홈페이지에 게재하는 등 공개하기로 했다.
또 인증서 유효기간을 현행 3년에서 폐지하고 대신 인증 제품에 대한 관리감독을 강화해, 인증 관련 허위/과장 홍보, 인증 제품 개발사항 무단 변경이나 인증서 오남용 등의 경우 인증서를 취소한다. 그밖에도 국정원은 사용자 오해의 소지가 있는 인증 제품명의 사용도 제한하는 방안을 검토하고 있다. 침입방지시스템(IPS) 초기 시장에서 업체들이 시장 선점을 위해 IDS 보호프로파일(PP)에 준해 인증을 받은 보안제품을 IPS 용어를 제품명으로 사용해 오해와 논란이 있었던 것과 같은 일을 방지하겠다는 뜻이다.
평가 수수료 체계 또한 기존 제품 구조나 보안 기능 복잡도와는 관계없이 일률적으로 적용되던 방식이 차등되는 등 고정적이던 수수료 체계를 변동 수수료 체계로 바뀔 전망이다. 국정원 관계자는 “현재 변동 수수료 체계를 비롯해 보다 효율적이고 합리적인 제품 평가 및 재평가방법을 고려하고 있다”고 소개했다.
평가신청 방법은 기존에 반드시 보호프로파일(PP)을 준수해 평가를 신청해야 했던 규정이 보안목표명세서(ST)만으로 평가 신청을 할 수 있어 PP가 없는 제품도 인증서 발급이 가능하도록 개선한다.
그리고 평가범위나 평가보증등급도 신청인이 선택할 수 있으며 보증 증거물에 영향을 주지 않는 소스코드의 텍스트 변경, 개발 환경 변경 등은 재평가를 안해도 되도록 변경했다. 이에 따라 앞으로는 정보보호 관련 기능이 들어간 모든 솔루션들이 보안 품질을 보증받기 위해 CC인증을 많이 추진할 것으로 전망된다. 제품에 한정하지 않고 신청인이 평가범위를 선택하면 보안기능을 평가할 수 있게 됐기 때문이다. 따라서 개발업체의 판단에 따라 라우터의 보안 기능, 오피스의 접근제어 기능, 디지털 복사기에 들어간 정보보호 기능도 평가대상이 될 수 있다.
이와 관련 대표적인 사례로는 마이크로소프트의 제품 인증을 들 수 있다. 마이크로소프트는 이미 본사 차원에서 윈도우 서버 2000 및 윈도우 2000을 시작으로 다양한 플랫폼에 EAL 4 등급의 CC인증을 받았다. 또 우리나라를 포함한 60개 전세계 국가 기관과 보안협력 프로그램인 GSP(Governmnet Security Program)을 통해 소스코드를 공개하고 있어 앞으로도 플랫폼과 솔루션의 보안 인증을 꾸준히 확대할 것으로 보인다.
한국마이크로소프트 관계자는 “본사에서 플랫폼과 솔루션의 안전성을 검증하는 일을 중요하게 생각하는 만큼 앞으로 운영체계나 서버, 오피스 등에 포함된 보안기능의 CC평가인증을 확대할 것으로 보인다”고 밝혔다.
현재 마이크로소프트가 CC인증을 수행한 제품에는 윈도우 서버 2000 및 어드밴스드 서버, 익스체인지 서버, ISA(Internet Security and Acceleration) 서버 2004, 윈도우 서버 2003과 서비스 팩 1, 윈도우 2000, 윈도우 XP 서비스 팩 2가 있다.
국가기관 공급 시 보안성 검토는 ‘필수’
국가기관 정보보호 제품 보급 절차는 CC평가·인증 후 보안적합성 검증 체계를 의무화하는 수직적 절차로 바뀌었다. 하지만 외산 솔루션이 해외의 평가·인증기관을 통해 솔루션의 전체 보안기능을 평가·인증을 받았을 경우 보안적합성 평가 시 해당 솔루션의 소스코드 공개 요구 없이 공급될 수 있어, 앞으로 외산 솔루션의 우리나라 국가기관 도입도 확대될 전망이다.
국정원 관계자는 “보안적합성 검증을 수월하게 받기 위해서는 평가인증을 최대한의 보안 범위를 대상으로 받으면 된다. 그렇다면 별도의 보안성 평가 없이 행정적인 처리로만 끝날 수 있을 것”이라고 말해 이같은 해석을 뒷받침했다.
하지만 국가기관은 정보보호 규정지침에 따라 시스템별로 보안등급이 나뉘어 있어 소스코드 공개를 피하기 위해서는 가장 중요한 ‘가’급의 최상위 보호수준에 해당되는 CC평가등급인 EAL 3+(EAL 4 인정) 이상은 받아야 될 것으로 보인다.
국정원은 이와 함께 고도의 해킹기법 등으로 국가기관의 중요 정보를 보호하기 위해 보안적합성 검증 절차와 시험을 강화하는 한편, 부실제품의 보안기능으로 시험기간이 지연되는 것을 방지하기 위해 완성도가 낮은 제품은 보안적합성 검증을 수용하지 않겠다는 입장도 내놨다.
이러한 평가인증 및 보안적합성 검증 체계 개선에 대해 외산업체들은 “앞으로 국가기관 도입 장벽이 크게 풀릴 것 같다”는 긍정적인 입장과 “조금 쉬워졌을 뿐 공공 분야 진입길은 여전히 막혀있는 것”이라는 부정적인 입장을 동시에 보이고 있다.
부정적인 입장을 보인 한 업체 관계자는 “모든 보안기능을 평가 대상 시험범위(TOE)에 넣는 것 자체가 힘들다”며, “핵심기능 외의 연관된 기능을 어디까지 보안 기능으로 잡아야할지 그 기준이 애매하다”고 지적했다. 또 다른 관계자는 “우리나라 국가기관에 공급하기 위해서는 EAL 4 수준의 인증이 필요한데 다국가를 상대로 사업을 벌이는 해외업체들은 해외 인증기관을 통해서도 소스코드 제출을 요구하는 EAL 4 등급을 받기 어렵다”고 말했다. 그는 특히 “다른 국가와는 달리 모든 공공기관, 국공립 학교에서까지도 EAL 4 등급의 CC인증을 요구하는 분위기와 기관별 담당자가 해석할 수 있도록 해놓은 정책이 문제”라고 토로했다.
한편, 올해 우선 개발될 보호프로파일(PP) 항목은 안티바이러스, 무선 랜 보안, 스팸차단 솔루션, ESM(통합보안관리) 솔루션이 선정되었으며, 오는 8월 최종 완료되어 공개될 것으로 보인다. 이중 안티바이러스의 경우 지난달 안철수연구소가 PC용 안티바이러스인 ‘V3프로 2004’와 윈도우 서버용 백신인 ‘V3넷 6.0’에 대해 EAL 4 등급의 CC인증 평가 계약을 체결해 연 내 첫 안티바이러스 CC인증 제품이 나올 것으로 보인다.
이유지 기자 yjlee@rfidjournalkorea.com