필자가 정보보호제품 평가인증 분야에 입문한지 오랜 기간 동안 정보보호제품 평가인증 제도는 국제 상황과 국내 보안업체 상황에 맞춰 끊임없이 변화해 왔다.

초창기 평가인증 제도는 정보보호제품에 탑재된 보안기능의 안전성과 신뢰성을 보증해 사용자들이 안심하고 사용할 수 있도록 지원하고 국내 정보보호 시장을 활성화시키며 외산업체로부터 국내 정보보호산업을 보호하는 역할을 했었다. 최근에는 평가인증 분야 선진국들과 어깨를 나란히 하며 국제상호인정협정(CCRA : Common Criteria Recognition Arrangement)에 가입돼 보안업체가 개발한 정보보호제품의 수출을 지원하고 있다.

많은 보안업체는 평가인증 제도의 변화에 순응하며 회사 매출을 극대화하기 위해 평가를 우선적으로 받으려고 많은 노력을 하고 있다. 그러나 일부는 이러한 평가인증 제도에 대한 사전지식 없이 제품을 개발한 후 바로 판매를 하지 못하는 경우가 발생하다 보니 평가인증 제도의 존재 필요성을 논하는 내용을 가끔 보기도 하는데 그럴 때마다 안타까운 마음을 금할 길이 없다. 인력과 자금 면에서 여유가 많지 않은 보안업체가 평가를 준비하는데 많은 부담을 갖고 있는 것이 현실이다. 경영자(CEO)들로부터 “개발에 관련된 모든 것은 핵심 개발자의 머릿속에 있고 개발자들은 문서화하는 것을 싫어하다 보니 핵심 개발자가 퇴사를 하고 나면 어떻게 대처해야 할지 모르겠다”라는 말을 듣곤 한다.

많은 업체들이 제품 개발 시 산출물 관리 등의 체계를 잘 정립하지 않아 어려움을 겪고 있지만 이는 제품 개발 초기부터 완료될 때까지 개발에 관련된 내용들을 문서화한다면 평가를 보다 쉽게 준비할 수 있다.

경영자 인식 전환은 필수!

회사의 모든 것은 경영자 말 한마디에 좌우되듯이, 평가를 준비하는 것이 회사의 장래를 위해 꼭 필요한 것이라는 인식을 경영자가 최우선적으로 가져야 한다. 또한 경영자는 평가를 받는 것에 높은 우선순위를 부여해 원활한 준비가 될 수 있도록 하는 의지를 표명할 필요가 있다.

평가를 준비하는 것은 문서를 작성하는 해당 부서만이 참여를 하는 것이 아니라 정보보호제품 개발과 관련된 회사 전반에 걸쳐 관련돼 있기 때문이다. 따라서 경영자의 의지 표명으로 회사 전체가 한마음 한뜻으로 일사분란하게 평가를 준비하는 것이 좋다.

회사 상황에 맞는 평가등급 결정

경영자 의지가 표명된 후 가장 먼저 해야 하는 것은 받고자 하는 평가등급을 결정하는 것이다. 평가등급은 평가를 준비하는 것에 우리가 얼마만큼 노력을 할 것인지를 결정한다고 해도 과언이 아니다. 평가등급이 높을수록 준비해야 하는 작업이 많아지므로 적절한 평가등급을 결정하는 것이 필요하다.

최적의 준비 인력 구성

목표한 평가등급에서 요구되는 필요한 문서를 준비하기 위해 회사 내에서 모든 것을 준비할 때 회사 내에 여유 인력이 존재하지 않는다고 판단되는 경우 위탁을 줄 것인지에 대한 결정이 필요하다.

국내 몇몇 업체는 평가를 위한 별도의 조직을 가지고 있으나 대부분의 기업들이 전담인력으로 이뤄진 조직 없이 평가관련 업무를 수행하고 있다. 평가는 단지 해당 제품의 평가만을 위해 준비하고 끝내는 것이 아니라, 해당 정보보호제품에 대해 계속적인 관리가 필요한 부분이므로 회사 내에 평가 담당자가 소수라도 있다면 위탁을 주는 것보다 회사 내에서 자체적으로 작성하는 것을 권장한다.

회사 내에서 자체적으로 문서를 준비하는 것으로 결정되면 누가 투입이 될 것인지를 결정해야 하는데 목표한 평가등급과 회사 상황에 따라 상이하지만 일반적으로 회사 내 평가 담당자와 개발자, 3 ~ 7명 정도로 구성한다.

그리고 준비하는 사람들의 평가에 대한 지식 정도를 파악해 관련 교육 이수가 필요한데 교육을 받기 전 교육 목표를 명확히 주지시켜서 교육 후 원활한 준비가 될 수 있도록 해야 한다. 교육을 받았음에도 불구하고 충분한 지식이 습득되지 않아 원활한 준비가 충분하지 않다고 판단되는 경우 컨설팅을 받는 것을 고려해 볼 수 있다. 컨설팅의 성패는 컨설턴트의 능력에 따라 좌우되므로 컨설팅하는 사람의 수준과 경력 등을 고려해야 한다. 전문가를 통하지 않고 자체적으로 문서를 준비하는 경우 작성된 문서의 수준이 낮아 처음부터 다시 작성해야 하는 등의 과오를 사전에 방지할 수 있다.

회사 내 작성할 여유 인력이 없는 경우 위탁을 고려하는 것도 하나의 좋은 대안이다. 위탁은 별도의 컨설팅을 받을 필요가 없이 평가에 대한 지식을 갖고 있는 사람이 투입되는지를 꼼꼼히 체크해서 진행해야 하며 위탁의 경우에도 개발자의 지원은 매우 필요한 부분이다. 시간적인 여유가 없다는 이유로 이러한 사항들을 고려하지 않고 진행하는 경우 좋은 결과를 얻기 힘들 것이다.

신속한 문서 작성 완료

평가를 준비하기 위해 문서를 작성하는 것은 정보보호제품의 개발 시작과 함께 문서를 작성하는 것이 일반적이지만 국내의 경우 정보보호제품의 개발이 모두 완료된 후에 문서를 작성하는 경우를 많이 보곤 한다. 전자든 후자든 평가를 준비하는데 큰 어려움은 없으며 소프트웨어 개발생명주기에서와 같이 보안목표명세서, 기능명세서, 제품설계서, 매뉴얼, 시험서 등의 순서로 작성하는 것이 좋다. 

회사가 목표로 하는 평가등급에서 필요한 문서를 작성하는 것은 많은 인내를 필요로 한다. 작성해야 하는 양이 많은 문서도 있고 양은 적으나 작성하기 까다로운 문서도 있기 때문에 생각하는 만큼 작성 속도가 나지 않아 초반에 실망하는 경우도 있다. 그러나 착실하게 작성하다 보면 시간이 지날수록 작성하는 속도도 나고 작성한 문서의 분량도 늘어나는 경우를 많이 보고 있다. 평가준비에 참여하는 사람들은 평가에 필요한 문서를 빨리 작성할 것을 권장한다.

평가자 수준으로 문서 리뷰

문서 준비를 완료하면 문서를 평가기관에 제출하기 전에 ‘역지사지의 마음’으로 작성한 문서를 평가자 수준으로 객관적으로 문서를 검토할 필요가 있다. 평가기관에서 근무를 하다 보면 보안업체는 모든 문서가 준비가 다 됐다고 얘기를 하지만 문서를 검토했을 때 평가가 가능한 수준이 못 되는 경우를 많이 경험했기 때문이다. 회사 내에서 컨설팅 도움 없이 자체적으로 작성하는 경우 작성하는 사람들끼리 짝을 맞춰 크로스로 검토해 볼 수 있으며 컨설팅을 받고 있는 경우에는 컨설턴트를 통해서 검토를 실시하면 좋다. 용역을 의뢰한 경우에도 작성한 문서에 대해 검토한 결과를 제출하도록 하는 것도 좋은 방법이라 할 수 있다.

보안업체가 평가를 준비하는 방법은 다양할 수 있으며 필자가 그 중 하나의 방식을 제안해봤다. 보안업체가 제품을 개발할 때부터 정보보호제품 평가를 준비해 인증을 획득한다면 제품의 신뢰성과 안정성을 확보할 수 있을 뿐만 아니라 기대 이상의 제품 판매를 통해 많은 수익도 올릴 수 있는 기회도 가질 수 있을 것이다.

<글 : 윤여웅 한국아이티평가원 부사장/이학박사(ywyun@ksel.co.kr)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>