국제표준 새로운 룰 적용... 국가별 1개 투표권에서 참여 인원별 투표권으로 변경
보안제품 평가자 자격, IT 제품의 개인정보보호기능 요구사항 개발 가이드 준비중

[보안뉴스 김경애] 정보보호 분야의 국제표준에 대한 관심이 높아져야 한다는 의견이 제기되고 있다. 국제표준은 전 세계 공통으로 정해진 기준과 규격을 따라야 하기 때문에 정보보호 업계는 물론 정치적·경제적·기술적 측면에서 국가별로 큰 영향을 미칠 수 있다. 이에 각국마다 국제표준화 활동에서 주도권을 확보하기 위한 움직임이 갈수록 활발해지고 있다.


이와 관련 중앙대학교 산업보안학과 김정덕 교수는 11일 한국과학기술회관에서 개최된 ‘2015년 보안인증평가 국제표준화 워크숍’에서 국제표준화 활동에 우리나라가 보다 적극 참여해야 한다고 강조했다.

정보보호 국제표준(IS: International Standard) 분야는 현재 ISMS, 암호화 및 보안매커니즘, 보안 평가 및 통제 서비스, 프라이버시 등으로 구분되며, 5개 워킹그룹(WG)에서 국제표준화를 위해 연구하고 있다.

국제표준으로 인정받기 위해서는 타당성 등을 미리 조사·연구하는 연구회기(Study Period) 또는 새로운 표준 아이템 공식 제안(투표 결정) -> WD(워킹그룹 초안) -> CD(위원회 초안)->DIS(IS 초안, Draft IS)-> FDIS(최종 DIS, Final DIS)의 5단계를 거쳐야 한다.

최근 WD 단계에서의 국제표준 정책이 새롭게 바뀌었다. 기존에는 WD 단계에서 다음 단계로 가기 위한 의사결정을 하려면 각 나라별로 1개의 투표권이 적용됐으나 이제는 참여 인원별로 투표권이 주어진다는 것. 국제표준은 각 나라별로 1명 또는 여러 명이 참여하기도 하는데, 투표권 변경에 따라 앞으로는 많이 인원이 참여하는 국가일수록 국제표준화에 더 큰 영향을 미칠 수 있다.

이와 관련 김정덕 교수는 “예전에는 국가별로 1개의 투표권으로 의견을 협의했다면 이제는 국제표준화 화동에 참여한 각 개인의 의견을 수렴하는 형태로 바뀌었다”며 “WG1의 경우 국제표준에 꾸준히 참여하고 있는 일본인은 10~15명인 반면, 우리나라는 4~5명 정도다. 국제표준에 대한 관심과 적극적인 참여가 필요하다”고 강조했다. 즉, 국제표준이 되기까지 각 개인의 의견을 수렴하는 단계가 있는 만큼 국제표준화 활동에 최대한 많은 인원이 참여하는 게 중요하다는 얘기다.

정보보호 제품에 대한 평가기준도 새롭게 변화되는 추세여서 국제표준화 방향에 주목해야 한다는 의견도 나왔다. 현재 제품 보안성 평가 방법론과 관련해서는 CC개발위원회(CCDB: Common Criteria Development Board)와 WG3가 함께 협력해 국제표준화를 진행하고 있다.

특히, 최근 국제표준 WG3에서는 보안제품 평가자 자격과 IT 제품의 개인정보보호 기능 요구사항 개발 가이드에 대한 국제표준도 준비 중에 있는 것으로 알려졌다.

보안제품을 평가하는 평가자 자격 기준의 경우 지식, 스킬, 경험, 교육 등의 항목 초안과 컨셉을 잡고 있는 상황으로 우리나라에 유리한 초안이 마련될 수 있도록 하는 게 중요하다.

이와 관련 국제표준 WG3에 참여하고 있는 윈스 이수현 팀장은 “국제표준에서는 IT 지식 및 평가지식, 취약점 분석 및 보고서 작성, 교육 등의 실제 테스트에 필요한 종합적인 지식이 필요하다”고 밝혔다. 이어 그는 “국내의 경우 정보보호제품 평가인증 수행규정에 따라 평가자와 인증자를 구분하고 있다”며 “국내 특성을 고려한 기준들이 국제표준에 반영되어야 한다”고 말했다.

또한, IT 제품의 개인정보보호 기능과 관련된 기준은 현재 국내에는 없는 상태로 향후 제정되는 국제표준의 영향을 받을 수 있기 때문에 추후 진행상황을 관심 있게 지켜보면서 적극 참여할 수 있는 방법을 모색해야 한다고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>