8월 중순 현재, 국정원에 별도지정제품 신청한 DDoS업체 12개사

국정원 IT보안인증사무국은 지난 7월 20일 홈페이지를 통해, 이미 CC인증을 득하고 있는 나우콤의 ‘스나이퍼 DDX’를 비롯해 CC평가계약을 체결하고 있던 LG CNS ‘세이프존 XDDoS’ 2개 국내업체·제품과 아버네트웍스·라드웨어·시스코 3개 국외 업체·제품을 ‘별도 지정제품’으로 우선 등재했다. 이는 지난 7.7 DDoS대란 이후 국가안보 등을 위해 긴급 도입이 필요해진 가운데 CC인증 등 검증을 필한 제품이 없거나 극히 부족한 경우 일정조건이 갖추어진 정보보호제품에 한해 지정하는 별도지정제도를 통해 선지정·후검증을 실시한다는 내용에 따른 것이다. 이에 이번 기획기사에서는 기존 CC인증에서 최근 별도지정된 DDoS제품과 관련한 별도지정제도에 대해 알아본다.

<순서>

1. GS인증

2. 국제공통평가기준 CC평가·인증

3. 별도지정제도

4. 검증필 암호모듈

5. 국가용 암호제품 지정제도

DDoS제품, CC인증에서 별도지정 제도로

안전성이 확인되지 않은 정보보호제품은 국가·공공기관에 원천적으로 납품할 수 없다. 그런 점에서 DDoS제품 역시 네트워크 정보보호 제품군으로 분류돼 CC인증을 득하지 못하면 국가·공공기관에 납품을 할 수가 없다. 그런 가운데 지난 7.7 DDoS대란은 기존 CC인증을 득해야 국가·공공기관에 납품될 수 있었던 DDoS제품에 대해서 CC인증이 아닌 국정원으로부터 별도지정을 받으면 납품이 가능하도록 하는 결과를 낳았다.

국정원 IT보안인증사무국은 지난 7월 중순 경 DDoS 업체들에게 이메일을 통해 이와 같은 사실을 통보하고, 별도지정 절차 및 별도지정 신청시 제출물 목록 등을 안내한 것.

지난 7월 9일 7.7 DDoS대란과 관련해 국무총리실장 주재로 대통령실, 국정원, 행안부 등 관계부처 차관들이 참석해 열린 차관회의에서는 추가 예산 200억원을 편성해 트래픽 분산 장비를 조기 확충한다는 등의 내용이 발표됨에 따라, 이후 국가·공공기관에 DDoS제품 수요는 늘 전망이지만 DDoS제품에 대한 CC인증제도가 걸림돌이 되지 않을까 하는 우려에 대한 대응으로 해석할 수 있다.

실제로 이번 DDoS대란 전, 행안부는 행안부를 포함한 3개 기관 13개 영역 인터넷 구간에 10억여원 규모로 DDoS 대응시스템 구축 내용을 담은 로드맵을 마련하고 조달청에 공고를 내 7월 중 사업계약을 맺을 계획으로 사업을 진행하고 있다. 하지만 이 과정에서 CC인증을 득하고 있는 제품은 나우콤의 ‘스나이퍼 DDX’만이 유일한 상태였고, 그나마 LG CNS에서 CC평가계약을 맺고 진행하고 있을 뿐이었다. 당시만 하더라도 국정원이 운영하고 있는 ‘CC인증·국가암호제품지정제도’에 따라 이 사업에는 이 두 업체만이 가능했던 것이다.

하지만 행안부는 7.7 DDoS대란이 발생하기 하루 전인 7월 6일, KISA에서 DDoS업체 20여곳이 참석한 가운데 사업설명회를 개최해 이번 사업에 CC평가계약을 체결한 업체 외에도 제품에 대한 품질과 성능테스트(BMT)를 마친 업체도 참여가 가능하다고 밝힌 것. 이는 이번 구축사업자 선정 전까지 CC평가계약을 체결할 수 있는 업체가 한정돼 좀 더 많은 업체들이 참여할 수 있도록 한 방편으로 풀이할 수 있겠다. 그렇지만 이는 엄밀히 말해 국정원의 정보보호제품에 대한 국가·공공기관 도입기준제도인 CC인증제도에 어긋난 것이라 할 수 있겠다.

그런 가운데 7.7 DDoS대란이 발생하고 국정원이 DDoS 제품에 대해 별도지정제도로 변경함에 따라 행안부가 KISA와 함께 추진한 정부기관 DDoS 대응체계 구축사업 우선협상대상자는 시스코 및 시큐아이닷컴의 제품을 제안한 에스넷시스템이 선정됐다. 우선협상대상자 선정에 대해 그 기준이 도마 위에 오르고 있다고는 하지만 어찌됐건 국정원의 DDoS제품에 대한 CC인증에서 별도지정제도로의 변경은 유효하게 작용한 셈이다.

DDoS제품, 지금은 별도지정제품이지만 향후 CC인증 받아야

국정원 관계자는 “국가기밀 보호를 위해 국가기관에 도입하는 모든 정보보호제품은 CC인증 등을 통해 최소한의 안전성을 확인하는 것이 원칙”이라며 “다만, 국가안보 등을 위해 긴급 도입이 필요하나 CC인증 등 검증을 필한 제품이 없거나 극히 부족한 경우 일정조건이 갖추어진 제품에 한해 별도지정제도를 통해 선지정·후검증을 실시”할 것이라며 별도지정 제도에 대한 취지를 밝혔다.

그런 가운데 국정원 IT보안인증사무국은 지난 7월 20일 홈페이지를 통해, 이미 CC인증을 득하고 있는 나우콤의 ‘스나이퍼 DDX’를 비롯해 CC평가계약을 체결하고 있던 LG CNS ‘세이프존 XDDoS’ 2개 국내업체·제품과 아버네트웍스·라드웨어·시스코 3개 국외 업체·제품을 ‘별도 지정제품’으로 우선 등재했다.

그리고 이어 7월 23일에는 퓨쳐시스템과 모젠소프트가 공공기관 수요에 발 빠르게 대응하기 위해 ‘별도 지정제품’ 시험신청을 완료했으며 이어 컴트루테크놀로지 등이 순차적으로 ‘별도 지정제품’ 신청서를 제출해 현재 국정원에는 총 12개사가 신청(8월 18일 현재)한 것으로 알려지고 있다.

덧붙여 8월 18일 현재까지 IT보안인증사무국 홈페이지에는 나우콤과 LG CNS를 제외한 나머지 업체·제품에는 [시험중]이라고 표시돼 있는데, 나우콤 및 LG CNS 제품은 CC인증 획득 또는 9월초경 인증완료예정 제품이지만 ‘시험중’으로 표시된 시스코 등 3사 제품은 CC인증 미획득 및 안전성 시험을 진행 중인 제품이기 때문이라는 것이 국정원 측의 설명이다.

한편 DDoS제품이 별도지정 제도로 변경됐다 하더라도 이 제품군에 대한 CC인증은 득해야 할 것으로 전망된다. 국정원 관계자는 “별도지정제품은 지정사유가 사안별 상이할 수 있어 향후계획에 대해 획일적인 답변은 곤란하나 이미 DDoS장비는 향후 CC인증으로 일원화할 계획이며, 그 시기는 관련업계 의견을 수렴 후 결정할 예정”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>