| ‘평가방식 간소화’ CC 4.0 나온다 | 2008.09.25 | |
일반 정보통신 기기로 평가대상 확대… 기업부담 경감 예상돼
국가정보원(원장 김성호 www.nis.go.kr) 주관으로 지난 23일부터 25일까지 제주 신라호텔에서 열린 ‘제9차 국제공통평가기준컨퍼런스(ICCC)’에서는 이 같은 내용을 뼈대로 한 국제공통평가기준 발전 방향에 대한 논의가 전개됐다. 이 행사에서 국제 CC인증기관들의 협의체인 CCRA는 그 체제를 대폭 개선한 네 번째 버전의 CC를 늦어도 오는 2010년까지 내놓겠다고 밝혔다. 아울러 이를 위해서 2009년 9월을 목표로 해 최종 초안을 만들고 있다고 함께 전하기도 했다. CCRA가 밝힌 차세대 평가기준 CC 버전 4.0은 평가기간과 소요비용 단축을 위한 평가방식 대폭 간소화에 개발 초점을 맞추고 있는 것으로 알려졌다. 데이비드 마틴 CC개발위원장은 “CC평가의 가용성과 비용 효율성을 함께 높이는 데 새로운 CC 버전의 개발 초점을 맞추고 있다”고 언급하며 국내 정보보호 업체들의 요구 사항이었던 평가기간과 소요비용 단축에 대한 의지를 나타냈다. 특히 “저등급(EAL1·2)에 대한 평가구비서류 간소화를 통해 평가기간을 단축하고, 새로운 버전에서 제품 평가를 보다 빠르게 수행할 수 있는 기준을 개발하기로 결정했다”며 CCRA 차원의 이 같은 의지를 더욱 강하게 뒷받침했다. 그동안 관련 업계에서는 CC인증에 따르는 각종 절차의 복잡함, 또한 길게는 1년 정도가 소요되는 평가기간으로 인해 적지않은 어려움을 호소한 바 있다. 평가기간·소요비용 단축을 위한 평가방식 간소화와 관련, CC개발위원회는 ▲접근 기반 근거, ▲사전 인증, ▲기술과 소통, ▲리포트 내용, ▲툴 등으로 구성되어 있는 5개 워킹그룹을 가동시켜 각 분야별 기준 마련에 나설 계획이다. CC v4.0은 웹 애플리케이션과 보안 기능을 담은 정보통신 기기 전반으로의 적용대상 확대에도 그 포커스를 맞추고 있다. 웹2.0 시대가 도래하고 인터넷의 사용이 일반화되면서 웹 애플리케이션 보안 위협이 증가하고 있는 데 따른 것이다. 이에 디터골만 함부르크대 교수와 데이비드 마틴 위원장은 “CC적용 대상을 웹 애플리케이션과 소프트웨어 제품으로 확대해야 한다”거나 “전체 인프라 보호라는 측면서 봤을 때 적용범위를 소비재 제품으로 넓혀야 한다”고 각각 말했다. 이들의 잇단 주장에 CC위원회는 그동안 정보보호 제품에 대해서만 적용되었던 CC인증을 앞으로 정보통신 기기나 소비재 제품 등으로 광범위하게 넓혀나갈 수 있도록 CC개발의 접근법을 수정해나가고 있다고 공식적으로 확인했다. 이런 특징을 지니게 될 CC v4.0에 대해서 메츠 올린 CCRA위원장은 “정보보호 제품뿐만이 아니라 일반 정보통신 제품에도 적용할 수 있는 국제적 표준이 될 것이다”라고 자신하면서 차기 버전에 대한 기대감을 감추지 않았다. 이와 관련해 국정원은 CC v4.0이 나오면 CC인증을 획득하기 위한 보안업체의 노력이 상당부분 경감될 수 있을 것이라며 차기 버전이 우리나라 보안산업의 활성화에 긍정적 영향을 줄 것으로 조심스럽게 전망하고 있다. [최한성 기자(boan1@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
