국제공통평가기준 상호인증협정(CCRA) 가입 이후 1년, 또다시 보안 시장에 격동의 바람이 불어오고 있다. 인증제도의 변화와 보안적합성 검증절차의 간소화가 격동의 핵. 특히 보안적합성 검증절차의 간소화는, 이로 인해 그동안 국내 공공 시장 진입에 어려움을 겪어왔던 외산 기업들에게 시장 확대의 기대를 안겨주고 있다. 인증제도의 변화에 대해 알아본다.
|오현식 기자·hyun@datanet.co.kr|
지난해 5월 우리나라가 국제공통평가기준 상호인증협정(CCRA)에 가입하면서 국내 보안시장에는 커다란 변화가 예상됐다. K4 인증이란 국내 독자 인증 체제에서 국제공통평가기준(CC)을 수용하게 됨으로써 시장 격변이 전망됐던 것. 특히 그동안 국내인증에서 소외됐던 외산 기업들은 CCRA 가입으로 공공시장 진입로가 열리게 됐다며 시장 확대를 자신했다.
하지만, 아직까지 외산기업들의 이러한 호언장담은 단지 말에 그치고 있다. CCRA 가입 이후 1년여가 흐르고 있지만, 국내 기업들이 여전히 보안 시장의 주도권을 가져가고 있는 것. 이러한 요인으로는 국내 보안 기업들이 글로벌 기업들과 비교해 뒤처지지 않는 기술력을 갖고 있다는 점이 언급되기도 하지만, 이보다 국정원 보안적합성 검증이란 걸림돌로 인해 최대 수요처라고 할 수 있는 공공시장에 외산기업이 접근하지 못했다는 것이 보다 근본적 원인으로 분석된다.
그러나 보안적합성 검증절차의 간소화 발표로 외산 기업들은 공공시장 진입이란 숙원을 이뤄낼 것으로 기대하고 있다. 보안적합성 검증은 중복 테스트을 피하고 검증기간을 단축하기 위해 CC인증 리포트 검토만으로 간소화됐다.
시스코 장성현 부장은 “CCRA 가입 이후 보안성 검증을 위한 국정원의 요구사항이 초기 소스코드 요구에서 ETR로 대체됐지만, 외산기업의 입장에서는 대외비에 속하는 ETR 역시 수용하기는 어려웠다”며 “국정원 방침이 ETR에 대한 요청없이 CC인증 리포트 제출로 최종 결정되면서 공공시장 진입도 노릴 수 있게 됐다”고 기대를 숨기지 않았다.
외산 기업으로 보안적합성 검증을 완료하는 첫 사례가 조만간 나올 것이라는 전망도 외산 기업의 기대에 힘을 실어주는 요인이다. 영광의 첫 테이프는 티핑포인트가 끊을 것이라는 게 업계의 중론. 이미 1년 이상 보안적합성 검증을 진행하고 있는 티핑포인트는 ETR 제출 요구를 수용하는 등 적극적인 모습을 보여 현재 보안적합성 검증 완료를 목전에 둔 것으로 알려진다. 늦어도 상반기 내에는 티핑포인트가 보안적합성 검증을 마무리질 수 있을 것으로 업계는 분석하고 있다.
티핑포인트 외에도 2개사가 보안적합성 검증을 진행하고 있다고 알려지며, 첫 사례가 발생한다면 이들 3개사 외에도 다양한 외산 기업이 보안적합성에 뛰어들 전망이다.
CC인증 적체, 국내 인증 신설
국정원으로부터 보안적합성 심사를 받기 위해서는 전제조건이 필요하다. 전제조건이란 바로 CC인증. 국가보안성 검증이 CC인증 리포트만으로 간소화됐다는 점에서 알 수 있듯 보안적합성 검증은 CC인증을 통과한 제품에 한해 행해진다. 이는 중복 검사에 따른 업계의 불편을 최소화하려는 노력인 동시에 국제 표준인 CC인증에 보다 힘을 싣기 위해 취해진 조치다.
그렇지만, 제도 변경으로 CC를 받지 않고도 보안적합성 검증을 받아 국가기관이나 공공기관에 도입이 가능한 길이 열렸다. 그 중 하나가 신설되는 국내 인증서 발급 제품을 통하는 길이다.
국정원은 3월 “국제적으로 통용되는 CC인증 외에 우리나라에서만 효력을 갖는 국내용 인증서를 발급하겠다”며 “국내용 인증서 보유 제품에 대해서도 국가보안성 검증을 진행한다”고 밝혔다.
이러한 변화는 평가 적체 현상 때문이다. CCRA 가입으로 모든 정보보호제품에 대해 국제공인인증서를 받도록 한 결과, 제한된 평가기관에 모든 정보보호 제품이 몰려 평가 적체 현상이 발생했다. 현재 CC인증 평가를 진행하는 기관은 한국정보보호진흥원(KISA) 단 한 곳에 불과하다. 이에 CC인증까지 걸리는 시간만도 1년 이상의 시간이 소요된다고 알려진다.
국내용 인증은 CC를 적용해 공공기관의 전산망 보호에 필요한 기본적 사항을 모두 평가하지만, CCRA에서 요구하는 문서화 작업 등을 최소화 평가기간이 크게 단축되도록 했다. 국내에서는 CC인증서와 동일한 효력을 지니도록 해 국내 인증서의 활용도를 높인다는 것이 국정원 측 방침이다. 즉, 국내 인증서 보유 제품 또한 국가보안성 검증을 통해 공공기관 공급이 가능한 것. 따라서 해외진출을 고려하지 않는 기업이라면 국내 인증 획득만으로도 원활한 사업 진행을 할 수 있게 됐다.
국정원 측은 “국내 인증의 신설로 평가 기간이 단축돼 공공 기관이 신제품을 적시에 도입할 수 있게 됨은 물론, 평가 적체에 따른 보안 업계의 불만도 해소될 것”이라고 예상했다.
국내 인증의 실시로 CC인증과 보안적합성 검증을 둘러싼 일각의 논란도 해소될 전망이다. 공공기관에 보안제품이 도입되기 위해서는 보안적합성 검증이 필수적인데, CCRA 가입과 더불어 보안성 검증 신청 대상이 CC인증 획득으로 변경되면서, 제도 변경 이전 CC없이 보안성 검증을 받은 보안 제품으로 인해 특정 업체 밀어주기란 비난을 피할 수 없었다. 더욱이 CC인증 적체 현상으로 인해 1년 이상의 시간이 소요되는 점은 비난의 목소리를 더욱 키우는 요인이었다.
CC인증 제품 자체가 전무하고, 보안적합성 검증 제품이 듀얼시큐어 아스록으로 유일했던 웹 방화벽 부문이 이러한 비난을 보여주는 대표적인 사례다. 웹 방화벽 기업들은 “듀얼시큐어에게 1년 이상의 공공시장 독점을 사실상 허용한 것”이라며 “제품의 기술력이 아닌 외부요인에 의한 시장 왜곡”이라며 강하게 반발한 바 있다.
평가 적체가 국내 인증 신설의 표면적 이유지만, 이면에는 이러한 비난을 피하기 위한 의도도 존재한다는 것이 일반적인 평가다.
제품 특성별로 보안적합성 이원화
국내 인증 외에도 제품 특성별로 CC인증 없이 보안적합성 승인을 받을 수 있는 길도 열렸다. 보안제품군을 크게 네트워크/컴퓨팅기반 제품과 암호기반제품으로 구분, 암호기반 제품군은 CC인증을 거치지 않고 ‘상용 암호모듈 검증’만으로도 보안적합성 신청이 가능하게 된 것.
상용 암호모듈 검증 제도는 국가·공공기관의 자료 중 정보통신망에서 소통되는 정보유출을 방지하기 위해 보안제품에 탑재해 도입하는 암호모듈의 안전성과 구현 적합성을 검증하는 것으로, 암호모듈은 암호기술이 구현된 하드웨어, 소프트웨어, 펌웨어나 이들이 결합된 것을 말한다. 보다 구체적으로는 PKI(Public Key Infrastructure), 일회용비밀번호(One Time Password), DB암호화 방식의 DB보안 제품 등이 이에 해당한다.
검증을 받기 위해서는 ▲암호검증 및 시험 신청서 ▲암호모듈 ▲제출물 5종 및 소스코드 등을 제출해야 한다. 제품 특성에 따라 CC인증 또는 암호검증을 받도록 함으로써 CC평가 적체현상을 해소하고 보안적합성 검증기간을 단축하는 효과가 있을 것으로 국정원 측은 예상했다. 상용 암호모듈 검증 통과가 의무화됨으로써 이 제도의 신청업체 및 제품도 증가할 것으로 예상됨에 따라, CC와 같은 적체 현상을 방지하기 위해 국정원은 국가보안기술연구소 외에 한국정보보호진흥원에서도 암호모듈을 시험할 수 있도록 시험기관을 복수화할 예정이다.
상용 암호모듈 검증은 현재 소프트포럼 ‘시큐어크립토’, 이니텍 ‘이니쉐이프’, 어울림 ‘시큐어웍스 IPS’ 등 세 개 제품이 암호모듈 검증을 받았으며, 에스원, 케이사인, 한국정보인증, 유비엠정보, 고려대학교 등의 5개 제품이 평가를 받고 있다고 알려진다. 지난 2005년 1월부터 실시돼 시행 3년여가 흘렀다는 점을 고려하면, 검증을 받은 업체수가 극소수에 그치고 있는 것. 따라서 이번 조치에는 CC적체 해소, 보안적합성 간소화와 더불어 상용 암호모듈 검증 제도 활성화란 또 다른 목적도 포함하고 있다고 평가된다. 국정원은 앞으로 가이드라인 홍보, 설명회 등을 통한 상용 암호화 모듈 평가 제도의 인지도 향상에도 박차를 가할 예정이다.
다른 한편으로 다양한 OS에서 작동되지만, 핵심 기술이 동일한 펌웨어나 소프트웨어를 사용하는 유사정보보호 제품에 대해서는 일괄평가 신청을 허용한다는 방침을 밝히기도 했다. 이러한 조치는 유사 솔루션에 대한 중복을 방지하게 됨으로써 평가신청 업체의 비용 부담을 감소시킴과 동시에 평가 적체 현상도 방지할 수 있을 것으로 기대된다.
기대 반, 우려 반
국내 인증 신설, 암호화 기반·네트워크 기반 평가제도 이원화, 유사정보보호 제품 일괄평가 등 인증 제도의 변화를 보는 시각은 기대 반, 우려 반이다. 특히 이러한 시선은 국내 인증에 모아진다. 동일한 기술이 적용된 유사정보보호 제품에 대한 일괄평가는 중복 인증에 따른 부담 감소로 환영일색인 반면, 국내 인증 신설에 대한 기대는 엇갈리고 있는 것.
우선 외산 기업의 경우, 국내용 인증서 신설이 공공기관 진입의 또 다른 장벽이 되지 않을까 의구심 섞인 시선으로 바라보고 있다. 한 외산 보안 업체 관계자는 “국정원의 입장이 어찌됐든 도입 기관에서 제출사항에 ‘국내용 인증서 제품’이란 한 줄을 추가한다면, 또 다시 국내용 인증을 준비해야 하는 상황”이라며 “국내 인증 신설은 기존 K4 인증의 부활이란 느낌을 지울 수 없다”고 토로했다. 이 관계자는 “국가보안성 검증 등에 적극 대응함으로써 공공시장 진출을 노린다는 전략이었지만, 다시 상황을 지켜봐야 할 것 같다”고 덧붙였다.
상용 암호모듈 검증은 외산 업체의 진출의 직접적인 장벽이 될 것으로 예상된다. 상용 암모모듈 검증 시 제출 항목에는 암호검증 및 시험 신청서, 암호모듈 등과 더불어 소스코드가 포함돼 있기 때문이다. 외산 기업들은 소스코드 공개는 절대불가란 입장이기에 PKI, 암호화 기반 DB보안, OTP 등에서는 외산 기업들의 공공시장 진입이 어려울 전망이다.
국내 보안 업체의 입장에서 볼 때는 국내 인증 신설은 반가운 소식이다. 하지만, 일부 관계자는 쓴 소리도 잊지 않았다. CC 적체에 따라 KISA 외에 추가로 민간 평가기관 신설 등의 대책이 나온 상태에서 국내 인증 신설은 장기적 계획이 단기적 시각에서 나온 아닌 미봉책에 불과하다는 지적이다.
또한 민간 평가기관 신설의 경우에도 평가 수행을 위한 인력부족 등이 문제시되고 있는데, 국내 인증에 투입할 인력 문제도 지적된다. 한 관계자는 “현재 CC인증 평가 인력 중 일부가 국내 인증팀으로 옮겨간 것으로 알고 있다”며 “결국 동일한 인력을 나눠 하나의 인증을 신설한 것으로 ‘눈 가리고 아웅’하는 처사”라고 말하기도 했다. 또한 그는 “국내 인증은 적체 해소를 위해 간략하게 검사한다는 소문도 돌고 있는데, 이는 장기적으로 인증의 신뢰성 측면에서도 문제가 될 것”이라는 지적을 덧붙였다.
또 다른 관계자는 “국내 인증 신설로 CC에 몰렸던 줄이 다시 국내 인증 쪽으로 그대로 옮겨왔다”면서 “보다 빠른 통과를 위해 치열한 눈치싸움이 전개되고 있다”고 전했다. 어떤 줄에 서느냐에 따라 시장의 성패가 갈릴 수 있어 제품의 기술력보다는 ‘눈치’에 의해 성패가 가늠되는 시장 왜곡이 발생할 수 있다는 것이다. 이와 관련 한 보안 업체의 대표는 “해외 시장 진출을 위해서는 CC를 획득해야 하겠지만, 내수 시장 성공을 위해서는 획득이 용이한 국내 인증을 받아 빠르게 시장에 접근해야 할 것 같아 고민”이라고 토로하기도 했다.
다른 한편으로는 CCRA 가입 의지 퇴색이란 점도 지적된다. 국내 보안 기업의 해외 진출을 촉진하기 위해 CCRA에 가입, CC로 평가제도가 변환됐는데 국내 인증 신설은 이러한 가입 의지를 퇴색시키는 것이라는 지적도 쏟아진다.
이에 대해 국정원 측은 “국내 인증 제도 도입 후 67개 CC 평가진행 및 대기제품에 대해 인증 전환 여부를 조사한 결과, 27개 제품은 국내용 인증서로, 40개는 그대로 CC를 진행하겠다고 희망했다”며 “이는 목표 시장에 따라 인증이 구분됨을 의미하며, 따라서 CCRA 가입 의미 퇴색보다는 오히려 긍적적 효과가 많다”고 밝혔다. 해외 진출을 겨냥하지 않은 제품에까지 국제 인증을 받도록 하는 것은 불필요한 역량 소모란 것으로, 국내 인증 신설에도 CCRA 회원국 활동에도 아무런 문제가 없다는 것이 국정원 측의 주장이다.
또한 국정원은 “CCRA 가입한 이래 총 28건의 국제공인인증서를 발행, 국산 정보보호 제품의 적극적인 해외진출을 지원하고 있다”며 “내년 9월 제주에서 개최예정인 CCRA 총회 기간 중 우리나라 국제공인인증서 발급제품에 대한 홍보를 추진하는 등 CCRA 가입효과 극대화를 위해 적극적인 노력을 전개하겠다”고 밝혔다.
