200억 규모 DDoS구축사업...CC인증 받지 않아도 공공 납품 가능

안전성을 확인하지 않은 정보보호제품은 국가·공공기관에 원천적으로 납품을 못한다. DDoS제품 역시 정보보호제품으로 분류돼 CC인증을 득하지 못하면 국가·공공기관에 납품을 할 수 없다. 하지만 현재 CC인증을 득한 DDoS제품은 나우콤의 ‘스나이퍼 DDX’만이 유일하고 그나마 LG CNS에서 CC평가계약을 체결하고 진행하고 있을 뿐이다.

그런 점에서 지난 9일 DDoS 사이버테러와 관련해 국무총리실장 주재로 대통령실, 국정원, 행안부 등 관계부처 차관들이 참석해 열린 차관회의에서는 추가 예산 200억을 편성해 트래픽 분산 장비를 조기 확충한다는 등의 내용이 발표된 바 있어, 이후 국가·공공기관에 DDoS제품 수요는 늘 전망이지만 DDoS제품에 대한 CC인증제도가 걸림돌이 되지 않을까 하는 우려의 목소리가 높다. 그런 가운데 국정원이 시급한 도입이 필요한 DDoS제품에 대한 기존 CC인증제도를 그대로 유지할지에 귀추가 주목된다.

DDoS시장 성장 예감...하지만 시급한 상황에 CC인증이 걸림돌

최근 7.7 DDoS 대란의 발생으로 향후 DDoS시장이 급격하게 성장할 것이란 전망이 나오고 있지만 DDoS제품에 대한 CC인증 자체는 불명확해 이후 DDoS시장의 성장에 CC인증이 걸림돌이 되는 것 아니냐는 우려의 목소리가 나오고 있다.

실제로 이번 DDoS 대란 전 행정안전부는 행안부를 포함한 3개 기관 13개 영역 인터넷 구간에 10억여원 규모로 DDoS 대응시스템을 구축하는 내용을 담은 로드맵을 마련하고 조달청에 공고를 내 7월 중 사업계약을 맺을 계획으로 사업을 진행하고 있다. 하지만 이 과정에서 CC인증을 득하고 있는 제품은 나우콤의 ‘스나이퍼DDX’만이 유일한 상태이고, 그나마 LG CNS에서 CC평가계약을 맺고 진행을 하고 있을 뿐이다.

 

즉 국정원이 운영하고 있는 ‘CC인증·국가암호제품지정제도’에 따라 이번 행안부 DDoS 대응시스템 구축사업에는 이 두 업체만이 가능하다는 것. 이에 행안부는 지난 6일 한국정보보호진흥원에서 DDoS업체 20여곳이 참석한 가운데 사업설명회를 개최해 이번 사업에 CC평가계약을 체결한 업체 외에도 제품에 대한 품질과 성능테스트(BMT)를 마친 업체도 참여가 가능하다고 밝힌 바 있다.

이번 DDoS 대응시스템 구축사업자 선정전까지 CC평가계약을 체결할 수 있는 업체가 한정돼 좀더 많은 업체들이 참여할 수 있도록 한 방편으로 보인다. 그렇지만 이는 엄밀히 말해 국정원의 정보보호제품에 대한 국가·공공기관 도입기준제도인 CC인증제도에 어긋나는 것이라 할 수 있다.

이에 국정원은 “지난 5월 21일부 발표한 정보보호제품 도입기준에 따라 올해 12월 31일까지 CC인증을 획득한 제품(해외인증 포함)은 국가·공공기관 도입이 가능”하다고 말했다.

DDoS제품, 이제는 확실한 정보보호제품

DDoS제품은 나우콤이 정보보호제품으로써 CC인증을 득하고 있지만 이를 네트워크 장비로 봐야지 정보보호제품으로의 분류는 옳지 않다는 지적이 있었던 것이 사실이다. 하지만 이번 7.7 DDoS 대란은 불분명했던 DDoS제품에 대한 분류를 명확하게 정보보호제품으로 분류하게 한 계기가 될 것이란 것이 전문가들의 의견이다. 또한 보안전문가들은 이번 DDoS사건은 향후 DDoS시장 확대 등의 호재로의 작용은 물론 성능면에서의 DDoS제품에 대한 재평가를 만들 것이라고 말한다.

이에 한 보안전문가는 “최근 각종 네트워크 장비나 보안솔루션을 동원해 네트워크 모니터링과 유해 트래픽 차단 등의 조치가 이루어지고 있으나 광대역 네트워킹 환경하에서 장비의 성능이나 기능이 만족할 만한 수준은 아니다”고 지적하고 “신속한 대응을 위한 정확하고 빠른 탐지가 요구됨은 물론 지능적인 공격 트래픽의 필터링을 위한 공격 트래픽과 정상 트래픽의 구분은 여전한 도전과제”라고 말했다.

그런 측면에서 현재 국정원은 나우콤의 ‘스나이퍼 DDX’ 제품에 대해 ‘DDoS 대응시스템’이 아닌 ‘이상트래픽 대응시스템’으로 분류하고 있다.

DDoS 공격 발생 시 해커의 공격 트래픽과 사용자의 정상적인 트래픽을 판별하는 기능을 가지며, 이에 따라 비정상적인 공격 트래픽만을 차단해 내부 네트워크 및 서버의 가용성을 보장하는 ‘DDoS 대응시스템’에 비해 ‘이상트래픽 대응시스템’은 DDoS 공격 발생 시 해커의 공격 트래픽과 사용자의 정상적인 트래픽을 판별할 능력은 없으나 대규모 트래픽 발생 시 내부 네트워크 및 서버의 처리능력에 맞도록 가용성을 보장하고 있는 제품군으로 분류하고 있는 것.

하지만 ‘이상트래픽 대응시스템’은 IPS 등 제품에 가깝지 DDoS제품으로 보기에는 무리가 있다는 것이 전문가들의 의견이다.

이에 국정원은 “이상트래픽 대응시스템은 DDoS 대응시스템을 포함할 수 있는 유형으로, DDoS 공격 발생시 내부 네트워크 및 서버의 처리용량에 맞추어 가용성을 확보할 수 있기 때문에 DDoS 공격을 경감시킬 수 있는 제품이며, 이는 최신 DDoS 공격의 특성상 정상 트래픽과 공격 트래픽 구분이 기술적으로 매우 어려운 실정을 반영한 조치”라고 밝혔다.

한편 DDoS제품에 대한 정보보호제품으로써의 역할이 더욱 커질 것으로 전망되고 있는 가운데 CC인증과 관련해 애매하게 진행돼 업계에서도 혼란이 있었던 DDoS제품은 이번 7.7 DDoS 대란의 영향으로 기존에는 국가·공공기관에 납품되기 위해서는 CC인증을 득해야 했지만 향후에는 CC인증을 받지 않아도 될 전망이다.

한 업계 관계자는 “이번 DDoS 사태 이후 지난 주 국정원으로부터 DDoS제품이 이후부터는 시급하게 도입해야 하는 제품인 만큼 별도지정제도로 운영될 것이란 통보가 있었다”고 밝혔다.

또한 그는 “지난 9일 DDoS 사이버테러와 관련해 국무총리실장 주재로 대통령실, 국정원, 행안부 등 관계부처 차관들이 참석해 열린 차관회의에서는 추가 예산 200억을 편성해 트래픽 분산 장비를 조기 확충한다는 등의 내용을 발표한 바 있다”며 “그런 만큼 시급한 도입 요구 제품인 DDoS제품에 대해 별도지정제도로 운영되는 것은 당연한 수순인 것 같다”고 말했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>