2005년 1월 적용, 스마트카드·지문인식·시큐어OS 제품 평가 추가

현재 K시리즈와 공통평가기준(CC) 두 가지로 운영되고 있는 국내 정보보호 제품 평가 기준이 오는 2005년 1월부터 CC로 일원화된다. 또한 내년부터는 방화벽과 침입탐지시스템(IDS) 그리고 가상사설망(VPN)에 이어 스마트카드, 시큐어OS, 지문인식시스템도 정보보호 제품 평가 대상 제품에 포함된다.

CC 활성화로 K시리즈 소멸 유도
정보통신부와 국가정보원, 한국정보보호진흥원(KISA)은 지난달 7일 ‘신규 정보보호 제품 평가 및 평가 기준 운영 방안 설명회’를 개최하고 정보보호 제품 평가 기준을 CC로 일원화한다고 밝혔다.
이들 기관은 평가기준 일원화 배경으로 “현재 K시리즈와 CC 평가기준을 병행하고 있어 사용자들에게 혼란을 안겨주었으며 다양한 정보보호 제품 개발 및 평가를 위해 추진하게 되었다.”고 설명했다. 또한 “앞으로 국내 보안업체들이 해외로 진출하기 위해서는 국제 수준의 평가 제도가 필요하다.”고 강조했다.
그동안 K시리즈와 CC 2개의 평가기준이 병행됨에 따라 시장에서 CC보다 먼저 시작된 K시리즈를 요구하는 경우가 많았으며, 이 때문에 CC가 크게 활성화되지 못했다는 평가가 있었다.
인증기관인 국정원은 CC 평가 신청 방법으로 최초평가, 재평가, 추가평가, 변경승인 4가지를 제시했으며, 최초평가에 의한 것만 CC를 적용할 방침이다.
재평가와 추가평가는 각각 기존 제품 기준을 유지하면서 기능을 추가하거나 다른 플랫폼으로 교체하는 것이며, 변경승인은 보안사고의 발생 등으로 보안 기능이 변경되는 경우가 된다.
국정원 담당자는 “현재 K시리즈를 보유한 업체들의 잔여 유효 기간은 보장해줄 예정이지만 2005년 1월부터 신제품에 대해서는 CC만을 적용할 방침.”이라고 말하고, “CC가 K시리즈와 완전히 동떨어진 평가기준이 아니기 때문에 앞으로 남은 15개월 동안 정보보호 업체들이 CC에 충분히 대응할 수 있을 것이다.”고 덧붙였다.
국정원은 신제품에 대한 CC평가가 시작되고, 사용자들이 CC를 선호할 수 있도록 시장에서 지원하는 등 CC 활성화 정책을 추진하게 되면 K시리즈 평가는 자연 소멸될 것이라 전망하고 있다.

평가 품목 늘어나 시장 확대 기대
정보보호 평가 대상 품목도 기존 방화벽과 침입탐지시스템(IDS), VPN에서 스마트카드, 지문인식, 시큐어OS로 늘어난다.
정통부 임낙희 사무관은 대상 품목을 확대를 추진하는 배경으로 “사용자 인증과 시스템보안 제품을 중심으로 평가 요구가 많았으며, 평가대상 제품을 확대해 제품 개발과 이용 촉진으로 시장 활성화를 기대할 수 있다.”고 설명했다.
임 사무관은 시장 활성화 근거로 그동안 K시리즈를 통해 평가를 수행해온 방화벽과 IDS 분야에 정보보호 업체들이 집중되어 있으며, 인증 제품을 보유한 회사도 23개에 달한다는 것을 들었다.
신규 평가대상 제품 선정을 위해 정통부는 150개 업체의 설문을 통한 평가수요 조사를 진행하였고 향후 시장 전망 등이 검토되었다. 수요 조사 결과로는 스마트카드 분야의 요구가 가장 컸으며 PKI 제품, 운영체제 보안, 지문인식 순으로 나타났다. 이 중 PKI 제품은 현재 전자서명법에 의해 별도의 심사를 받고 있어 평가 대상 제품에서는 제외되었다.
정통부는 올해 안에 CC 기준 개정 고시를 통해 신규 평가 대상 제품을 추가할 예정이며, KISA를 중심으로 신규 평가 대상 제품에 대한 보호프로파일(PP)을 작성하면서 내년부터 평가 작업을 수행할 계획이다.
한편 정통부를 비롯해 평가인증 기관은 연 내 평가체계 변경과 관련 정보보호 업체들을 비롯한 관련 업계의 의견을 수렴할 수 있는 공청회를 개최할 방침이다. 또한 공통평가기준 상호인정협정(CCRA) 가입을 위해 아시아 국가간 협조체제 마련 및 시기 검토 등에 들어갈 계획이다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지