| [기자수첩]보안업계 CC인증 위해 분주...국정원은 둔감 | 2009.10.20 | |
IT보안인증사무국, 보안USB 인증 평가진행 사항 제대로 전달 못해
그렇게 현재 보안USB 공공시장에는 기존 검증필 제품목록에 등재됐던 10개 업체와 신규로 진출한 블루젠이 국정원의 이러한 발표에 발 빠르게 움직여 지난 8월 7일 CC인증을 획득하고 조달청 나라장터에 등재시키는 한편 활발한 영업을 펼치고 있는 상황이다. 그리고 최근 아이티네이드와 잉카인터넷이 CC인증을 득함으로써 현재 총 11개 업체 중 이들 2개 업체와 닉스테크, 프롬투정보통신, 블루젠, 솔루션어소시에이트, 엔트랙시스템, 비젯 등 이상 8개 업체가 CC인증을 득하고, 엘립시스, 세이퍼존, 비앤비쏠루션 등이 CC인증 획득을 기다리고 있다. 하지만 이러한 업체들의 분주한 움직임과는 달리 ‘국가·공공기관 정보보호제품 도입기준 및 절차’를 발표하고 CC인증기관으로 ┖국정원 IT보안인증사무국┖의 움직임은 둔감하기만 하다. 우선 10월 16일 보안USB 2개 업체가 CC인증을 득했음에도 불구하고 5일이 지난 현재까지도, IT보안인증사무국에는 이러한 사실을 게재하지 않고 있는 것. 여전히 아이티네이드와 잉카인터넷은 평가진행 중으로 게재된 상황이다. 더구나 비앤비쏠루션의 경우 지난 5월 한국시스템보증(KOSYAS)과 평가계약 체결을 했지만 이후 한국인터넷진흥원(KISA)과 재계약 후 현재 평가진행 중임에도 불구하고 IT보안인증사무국은 비앤비쏠루션의 평가진행이 한국시스템보증에서 이루어지고 있다고 게재해 알리고 있다. 더구나 이번 아이티네이드와 잉카인터넷은 기존 업체들이 받은 EAL2 등급에 상회하는 EAL2+ 등급이다. 하지만 이것이 어떤 차이가 있는지를 알 수 있는 것은 IT보안인증사무국이 게재해 주는 ‘보안목표명세서’다. 이들 2개 업체가 획득한 CC인증 보증등급은 EAL2+라고 하더라도 상이하다. 국정원 IT보안인증사무국장이 이들 업체에 내준 인증서에는 보증등급으로 ‘EAL2 augmented with ALC_FLR.1(아이티네이드)’와 ‘EAL2 augmented with ALC_CMC.3, ALC_CMS.3, ALC_DVS.1, ALC_LCD.1(잉카인터넷)’이라고 인증을 내 주었다.
구입기관에서도 그렇거니와 경쟁업체에서도 이를 확인할 수 있는 방법은 ‘보안목표명세표’를 통해서다. 더구나 아이티네이드가 이번에 CC인증을 받은 제품은 ‘Nade UMS Enterprise v3.0’으로, 국정원이 IT보안인증사무국 홈페이지를 통해 알려주고 있는 2.0버전이 아니다. 국정원은 다른 정부부처·기관과는 다르다. 그렇다보니 국정원의 발표나 이러한 IT보안인증사무국의 공지만으로도 업계에서는 엄청난 파급이 생기기도 한다. 그런 이유때문에 IT보안인증사무국 홈페이지 공지 등에 보안업체들이 촉각을 곤두세우고 있는 것이다. 그럼에도 현재 국정원 IT보안인증사무국은 분주한 업체들에 반해 둔감할 뿐만 아니라 도리어 업체들이 혼동을 할 수 있는 잘못된 정보를 제공하고 있다. 한편 본 기자가 파악하기로는 홈페이지에 게재된 인증목록에는 현재 기업명이 변경돼 전혀 다른 이름으로 활동하고 있는 보안업체임에도 불구하고 여전히 과거 기업명으로 그대로 등재돼 있는 것을 확인할 수 있었다. 거듭 국정원은 다른 정부부처·기관과는 다르다. IT보안인증사무국 홈페이지와 같이 보안업체들이 촉각을 곤두세우고 지켜보는 정부부처·기관 홈페이지는 없을 것이다. 그런 만큼 당연히 국정원 IT보안인증사무국은 업계 간 혼선이 야기되기 전에 우선적으로 알려야 할 사항에 대해서는 좀더 관심을 갖고 잘못된 사항이 없는지를 확인하고 제대로 알려야 할 것이다. 한편 10월 20일 오전 11시 현재, IT보안인증사무국 홈페이지에서는 이와 관련 아이티네이드와 잉카인터넷의 보안USB 제품을 인증 제품 목록에 게재했다. 하지만 인증서만 올려진 채 여전히 ‘보안목표명세표’는 공개되지 않은 상태다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
