• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안인증-2]보안 개념 확대로 CC평가·인증 제품 늘어 2009.08.18

2009년 8월 17일 현재, CC평가·인증 완료된 정보보호제품 155건


지난 7월 초 [보안인증]이란 주제로 GS인증을 시작으로 기획기사를 진행한 가운데 지난 7월 7일 발생한 DDoS 대란으로 기획기사가 잠시 유보된 후 다시금 다음 기획기사로 이번에는 국제공통평가기준 CC평가·인증을 다룬다. 아울러 그와 함께 기존 보안인증으로 GS인증, CC평가·인증, 검증필 암호모듈, 국가용 암호제품 지정제도 4개에서 최근 DDoS대란으로 DDoS제품에 대해서는 기존 CC인증에서 별도지정으로 변경된 내용을 함께 포함한다.


<순서>

1. GS인증

2. 국제공통평가기준 CC평가·인증

3. 별도지정제도

4. 검증필 암호모듈

5. 국가용 암호제품 지정제도


정보보호제품 평가·인증제도는 민간업체가 개발한 정보보호제품에 구현된 보안기능의 안정성과 신뢰성을 국가차원에서 보증해 사용자들이 안심하고 제품을 사용할 수 있도록 지원하는 제도로 국가정보원 IT보안인증사무국이 그 인증기관으로 중추적 역할을 담당하고 있으며, 평가기관으로는 한국인터넷진흥원(KISA) 외에 2007년 하반기부터 한국산업기술시험원(KTL)과 한국시스템보증(KoSyAs)이 수행하고 있으며, 올해 내에 2개 기관이 추가로 지정될 전망이다.


우리나라는 이 제도를 지난 1998년 2월부터 시행해 오고 있으며 2002년부터는 국제공통평가기준 CC(Common Criteria)에 따라 정보보호제품을 평가·인증하고 있다. 특히 IT보안인증사무국은 지난 3월 20일, 정보보호제품 평가기관 설립요건을 강화하고 평가자 자격관리를 보다 체계화하기 위해 ‘정보보호제품 평가인증 수행규정’을 개정하고 2009년 3월 20일부로 시행해 오고 있으며 이어, 지난 5월 21일에는 ‘국가·공공기관 정보보호제품 도입기준 및 절차’를 발표해 국가·공공기관에 납품되는 보안제품에 대한 도입기준을 명확히 한 바 있다.


그에 따른 KISA의 연도별 평가완료 건수를 살펴보면, 지난 2003년부터 처음으로 어울림정보기술의 침입차단시스템 2개 제품에 대한 2건 평가완료를 시작으로 2004년에는 9건, 2005년에는 17건, 2006년 20건, 2007년 20건, 2008년 33건을 평가완료했다.


이를 분석해 보면, 2000년대 초반 정보보호제품 평가대상은 침입차단시스템(Firewall)과 침입탐지시스템(IDS) 정도였으며, 실제 평가완료한 보안업체는 2004년까지 불과 3개업체(어울림정보기술-8개 제품, 퓨쳐시스템-2개 제품, 모보-1개 제품)뿐이었다. 하지만 현재는 네트워크보안, DB보안, PC보안, 보안USB 등 제품군을 분류하기도 어려울 정도로 다양해 졌고, 보안업체는 100여개로 10배 가까이 증가했다.


또한 2007년도 하반기부터 KISA 외의 평가기관으로 추가지정된 KTL과 KoSyAs는 실제 2008년도부터 평가완료 건수가 나타났는데 2008년도에 각각 4건과 5건을 평가완료했고, 2009년 8월 17일 현재 각각 11건과 13건을 평가완료했으며 5건씩을 현재 평가진행하고 있다. 아울러 KISA는 올해만 21건을 평가완료(2009.8.17 현재)했고, 현재 12건을 진행 중이다.


특히 주목되는 것은 지난해 KISA-33건, K시-4건, KoSyAs-5건으로 KISA에 집중된 반면 그나마 올해에는 KTL과 KoSyAs 평가완료 건수가 8월 현재 이미 3배에 가까운 건수를 보이고 있는 것이 눈에 띈다. 더구나 지난 7월 8일 현재 국내 3개 평가기관이 평가완료한 28건 및 평가진행 중이었던 18건에 비해, 한달여가 지난 현재 45건에 22건이 평가완료·진행돼 보안에 대한 개념이 확대됨은 물론 정보보호제품에 대한 시장이 커졌음을 짐작하게 한다.


이에 이강석 KISA 보안성평가팀장은 “정보보호제품 평가는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 받아야 하는 과정으로 마치 규제인 것처럼 인식될 수 있다. 하지만 제품평가는 사람이 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯, 개발한 제품이 개발 목적대로 만들어졌는지, 취약성이 없는지를 평가전문기관에서 검증을 받아야 하는 것”이라며 “보안업체는 CC평가·인증 제도를 통해 안전·신뢰성이 보증된 제품을 시장에 출시함으로써, 제품과 기업의 가치를 높이게 될 것”이라고 밝혔다.


한편 보안업체 한 관계자는 “과거 CC평가·인증 제도가 정착되지 못한 상황에서 이 제도자체로 인해 기술력이 있음에도 영세한 업체들의 경우에는 비용이 만만치 않아 국가·공공기관에 제품을 납품하는 것을 포기해야 하는 상황이 발생했던 것이 사실”이라며 말하고 “하지만 현재 CC평가·인증 제도가 정착된 상황에서는 보안 제품의 안전 및 신뢰성을 높여 제품뿐 아니라 기업의 가치를 높이는데 업체는 힘을 기울여야 할 것이고, IT보안인증사무국과 같은 정부기관 등은 이에 대한 명확한 가이드라인을 제시해 주는 것이 필요”하다고 말했다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>