[디지털데일리 이종현기자] 국가·공공기관 사이버보안 제품 납품을 위한 보안 적합성 검증의 뼈대가 최신화된다. 그간 인증 사각지대에 놓여 있던 클라우드 기반 사이버보안 제품 등에 대해서도 검증이 이뤄질 수 있을 전망이다.
10일 국가정보원(이하 국정원)은 국가 및 공공기관이 도입하는 사이버보안·네트워크 등 보안기능이 탑재된 정보기술(IT) 제품에 요구되는 보안적합성 검증 정책에 대해 소개하는 설명회를 개최했다.
설명회에는 국정원을 비롯해 국가보안기술연구소(이하 국보연), 한국인터넷진흥원(KISA) 등 유관기관 관계자들이 발표자로 나섰다. 사이버보안 관련 기업 관계자들을 대상으로 국내 보안 적합성 검증 제도에 관련한 발표 및 질의응답이 이뤄졌다.
보안 적합성 검증 제도는 공통평가기준(Common Criteria, CC) 인증으로 대표된다. 국제 공통 표준이나 국내에서는 국제용와 국내용을 구분해 발급하고 있다.
국내용 CC인증의 경우 국제용에 비해 일부 문서 요건이 간소화되는 대신 국가 보안기술 요구사항(PP)을 충족해야 한다. 반면 국제용은 국제상호인정협정(CCRA)의 요건에 따른 문서를 모두 충족해야 하며, 별도의 국가 보안기술 요구사항을 충족할 필요는 없다.
국보연 IT보안인증사무국 사무국장은 “국내용 CC인증은 이를 받기 어려워하는 기업들이 많아, 일부 요구사항을 간소화한 대신 국내에 맞는 보안기술 요구사항을 더한 것”이라며 “만약 국가·공공기관을 대상으로 사업을 할 경우 국내용 인증을, 제품의 마케팅 목적으로 인증을 받는다면 국제용 인증을 받으면 된다”고 말했다.
CC인증의 경우 여러 보안 적합성 검증 제도 중에서도 특히 엄격한 과정을 거쳐야 한다고 평가받는다. 적잖은 시간 및 비용이 필요한 데 더해, 국내용과 국제용을 별도로 둔다는 점에서 많은 비판을 받고 있다. 특히 국내 공공기관에 제품을 납품하려면 국내용 인증을 받아야 하기 때문에 영세한 스타트업이나 외산 기업들의 장벽이 된다는 지적도 있다.
이에 국정원은 올해부터 일부 제품의 경우 CC인증 대신 보안기능 확인서를 발급받은 네트워크·사이버보안 제품도 공공기관에 납품을 할 수 있도록 개선했다. CC인증에 필요한 비용, 시간이 많다는 지적에 따라 개선된 결과물이다.
국정원 관계자에 따르면 2022년 6월 1일 기준 보안기능 확인서를 받은 제품 중 외국계 기업 제품이 168건으로 65%, 국내 기업 제품은 91건으로 35%다. 이중 사이버보안 제품은 외산 6건(17%), 국산 29건(83%) 등이다.
이와 함께 국가 보안기술 요구사항의 최신화 작업도 이뤄지고 있다. 클라우드 기반 사이버보안 제품이나 생체인식 제품, 랜섬웨어 대응제품, 아이폰용 MDM 등 신규 보안기술 요구사항을 만든다는 계획이다. 인증 대상 제품이 아닌 탓에 국가·공공기관 납품이 어려웠던 문제가 해소될 것으로 예상된다.
특히 주목받은 것은 클라우드 기반 사이버보안 제품에 대한 보안기술 요구사항 마련이다. 백신이나 방화벽 등과 같은 기존 제품 유형이 클라우드 기반으로 제공되는 것에 더해 기존에 없던 개념의 신규 제품에 대한 확장성이 크게 높아질 것으로 기대된다.
또 보안기능 확인서를 발급받은 제품들도 나라장터에 등재될 수 있도록 추진할 예정이다. 스타트업의 보안기능 확인서 발급을 지원하기 위한 ‘구현명세서 기반 시험’ 확대 등 대대적인 변화를 예고했다.
현행 아이디/패스워드를 기본으로 하는 사용자 인증도 손봐진다. 중장기적으로 이중인증의 수단으로 활용되는 생체인증 등을 기본 요구사항으로 두고, 아이디/패스워드나 핀번호 등을 추가 인증 수단으로 활용토록 한다는 방침이다.
국정원 관계자는 “해킹 조직의 주요 목표가 사용자의 계정 아이디, 패스워드다. 아이디와 패스워드는 굉장히 많이 노출된 상태이기에 개선이 필요하다”고 전했다.
한편 KISA는 2017년부터 시행되고 있는 정보보호제품 성능평가에 대해 소개했다. 네트워크 방화벽 및 분산서비스거부(DDoS) 대응장비, 윈도 기반 안티 바이러스 등 총 13종이 대상이다. 사이버보안 제품이 적절한 수준의 성능을 갖췄는지 여부를 판단하는 것이 골자다.
KISA 관계자는 정보보호제품 성능평가를 통해 가격이 아닌 성능 중심의 국내 정보보호산업 생태계를 조성할 수 있으리라 전망했다. 국내 정보보호기업의 기술 경쟁력을 높일 수 있으리라는 기대다. 일부 제품의 경우 CC인증 등 기타 보안 적합성 검증 없이 성능평가만으로 국가·공공기관에 제품을 도입할 수도 있다.