“티핑포인트 IPS 보안적합성 검증필 효과 거두지 못할 것”

최근 티핑포인트의 국정원 보안 적합성 검증필 획득으로 외산 보안 업체들의 공공사업이 본격화 될 것이라는 예상과는 달리, 업계 한 편에서는 아직 외산업체들에게 공공시장 문이 제대로 열렸다고 보기 어렵다는 목소리가 높다.

보안업체들은 "이번에 보안 적합성 검증필을 획득한 티핑포인트 IPS가 EAL2(다) 등급 국제공통평가기준(CC) 인증이기 때문에 보안적합성 검증필을 획득했다 하더라도 서버 단 등 일부 파트를 보호하는 용도가 아닌, 정부 주요 국가망을 비롯한 공공기관 네트워크 보호 용도로 게이트웨이 단에 도입되는 데는 한계가 있을 수 있다"고 말했다.

실제 공공시장 보안 프로젝트 시 다수 RFP에는 'EAL3 등급 이상', 'EAL4 등급 이상'이라는 CC인증 레벨이 분명히 명시되고 있다. 따라서 EAL3등급 이상 CC인증을 받은 제품을 요구하는 공공기관에는 티핑포인트 제품이 들어가기 힘들 것으로 예상된다.

티핑포인트는 "현재 IPS 가운데 EAL4등급으로 CC인증을 받은 제품은 윈스테크넷 장비가 유일하며, 인증 등급과 상관없이 공공기관 내부에서 보호하고자 하는 정보 수준에 따라 장비 도입이 이뤄지므로 티핑포인트 IPS 도입하는 공공시장이 제한돼 있는 것은 아니다"라고 반박했다.

하지만 외산 보안 업체의 한 관계자는 "국정원에서 EAL4 등급 CC인증을 받은 외산 제품에도 보안 적합성 검증필을 부여할지는 모르는 일"이라며 미심쩍은 눈길을 보내고 있다.

현재 워치가드의 경우 티핑포인트 보다 3달 먼저 EAL4 등급 CC인증을 획득한 UTM 장비 '파이어박스 X 피크', "파이어박스 X 코어'로 보안 적합성 검증 심사를 신청해 보안적합성 검증필 획득할 날만을 손꼽아 기다리고 있다.

워치가드가 보안 적합성 검증필을 획득한 이후에야 외산 업체들이 공공시장 진입에 대한 확신을 갖고 보안 적합성 검증 심사를 받기 위해 본격적으로 발 벗고 나서게 될 것으로 예상된다. 한편, 공공시장 진입을 위한 기반 마련을 위해 현재 맥아피, 주니퍼, 체크포인트, 포티넷 등 다수 외산 보안 업체들이 보안 적합성 검증을 받기 위해 검토 중이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지