Home > 전체기사
“정보보호제품 평가 인식의 전환 필요”
  |  입력 : 2009-06-08 08:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
[인터뷰] 이강석 한국정보보호진흥원 보안성평가단 평가서비스팀장

“국가·공공기관에 제품 납품위해 받는 규제처럼 인식하면 안돼”


최근 국정원 등이 국가·공공기관에 납품되는 정보보호제품에 대한 평가기준을 강화하면서 이에 대한 업계의 불만이 높다. 보안성 강화 측면에서 이러한 일련의 움직임에 대해서는 긍정을 하면서도 일반적으로 정보보호제품을 개발하는 업체는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 평가·인증을 받아야 하는 과정으로 마치 규제인 것처럼 인식하고 있는 부분이 보다 높기 때문이다. 이에 정보보호제품 평가기관인 KISA의 이강석 평가서비스팀장은 “정보보호제품평가란 사람이 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯 정보보호제품에 대한 건강검진과 같은 것”이라고 말한다. 정보보호제품 평가에 대한 인식의 전환이 필요하다고 말하는 이강석 KISA 보안성평가단 평가서비스팀장을 만나 직접 그에 대한 이야기를 들어봤다.


-우리나라 평가제도는 평가 선진국에 비해, 단기간 내에 체계가 구축된 것으로 알고 있는데, 이에 따른 문제점은 무엇이라고 생각하는가?

영국·독일 등 유럽은 산업혁명 및 1차·2차 세계대전을 거치면서 건설감리에 대한 중요성을 깨닫게 되었고 체계적으로 발전시켜나갔다. IT의 발전과 더불어 건설감리는 자연스럽게 IT제품에 대한 보안성평가에 적용해 순조롭게 진행됐다. 그에 비해 우리나라는 평가 선진국의 다양한 평가제도를 연구해, 1998년 2년이라는 짧은 기간내에 독자적인 평가체계를 구축했다.


평가자는 평가방법론에 따라 평가하는 것도 중요하지만 의사가 환자를 진찰하듯 제품별 보안기능에 대한 특성을 분석하고, 어떻게 평가할 것인지에 대한 노하우가 깊게 배어 있어야 한다.


또한 개발업체는 제품에 대한 문제점을 숨기는 대신, 환자가 의사한테 자신의 몸상태를 설명하듯 제품에 대한 세부적인 기능을 설명하고, 발견된 문제점을 보완해야 한다. 하지만 초기 평가는 이러한 평가자의 노하우와 개발업체의 인식차이로 어려움이 있었다.


-‘건설감리’와 ‘정보보호제품 평가’와의 관계에 대한 상세한 설명?

다리를 건설할 경우, 지나갈 차량의 대수·최대무게 등을 고려해 재료(나무, 콘크리트, 철제)와 강도(철제빔의 두께)를 산정한다. 다리가 완공되면 본래의 설계서와 동일하게 건설이 되었는지를 알아보기 위해, 시료를 채취하고 망치로 두드려 보는 등의 테스트를 하게 된다.


이것은 정보자산에 대한 보안위협(해킹, 정보노출)을 고려해 보안기능(해킹탐지 및 차단, 데이터 암호화)을 설계하고, 설계서와 동일하게 구현되었는지를 시험하는 정보보호제품 평가와 동일하다.


참고로 영국·독일·프랑스는 각국의 보안성평가기준을 통합해 1991년 ITSEC을 개발했으며, 미국(TCSEC)·캐나다(CTCPEC) 등과 평가기준을 통합해 오늘날의 국제공통평가기준(Common Criteria, ISO/IEC 15408)을 탄생시켰다.


-‘정보보호제품 평가’란 무엇이라고 생각하는가?

정보보호제품 평가란 행인2와 같다. 정보보호가 정보화에 있어 자동차가 좀 더 빠르고 안전하게 달릴 수 있도록 보호해 주는 고속도로의 중앙분리대와 같다면, 정보보호제품 평가는 연극의 행인2와 같은 존재이다.


개인정보보호, 인터넷 침해사고 예방·대응, 기업정보보호 등 주연급의 업무들 사이에서 효과성이나 성과가 확연하게 드러나지 않으면서 평가기간·비용·적체 등의 현안이 항상 동행하고 있다. 하지만 평가·인증받은 제품은 국가·공공기관이 믿고 도입할 수 있도록 하고 있으며, 개인정보보호, 인터넷 침해사고 예방·대응, 기업정보보호 등을 위한 효과적인 대책으로써 그 역할에 충실하고 있다.


-정보보호제품 평가를 받는 업체 관계자들에게 한 말씀?

일반적으로 정보보호제품을 개발하는 업체는 국가·공공기관에 제품을 납품하기 위해 어쩔 수 없이 평가·인증을 받아야 하는 과정으로 마치 규제인 것처럼 인식된다. 정보보호제품평가란 사람이 주기적으로 전문의에게 자신의 몸 상태를 점검받아 문제가 없는지를 확인하듯 정보보호제품에 대한 건강검진과 같은 것이라고 생각한다.


개발한 제품이 개발목적대로 만들어 졌는지, 취약성이 없는지를 평가전문기관에서 검증을 받고, 제품의 안전·신뢰성을 보증(Assurance) 받은 제품을 시장에 출시함으로써 제품과 기업의 가치를 제고하고 고객에 대한 만족도 제고를 위한 자발적인 사항이 되어야 한다.


-평가사업을 진행하는 담당자로서 느끼는 보람이 있다면?

평가서비스팀은 고객인 평가신청업체와 최접점에서 호흡하는 팀이다. 기본적으로 하루에도 한개 업체 이상이 전화 또는 방문하고 있으며, 팀장이 직접 평가관련 상담을 해 주고 있다.


평가상담을 하면서 정보보호 기술과 시장동향을 접할 수 있고, 다양한 업체의 애로사항을 들으면서 어떻게 평가사업이 변해야 할지를 고민하게 되고 발전방향에 대한 아이디어를 얻게 된다.


평가자들은 마치 아기를 잠시 맡아 키우다가 떨어질 때의 아쉬움을 느끼는 보모와 같이 자기가 맡아 평가한 제품에 대한 자부심이 대단하다. 평가를 받은 대다수의 업체들은 평가를 받고 난후 제품의 보안성 향상·기능의 안전성 제고 등에 대해 긍정적인 평가를 내리고 있으며, 특히 내부 개발과정이 체계화됨에 따라 경영여건이 안정화 되었다는 업체의 이야기를 들을 때면 가슴이 뿌듯해진다.


-마지막으로 향후 평가서비스에 대한 방향은?

우선 지속적인 평가서비스 확대해 갈 계획이다. 많은 개발업체들이 평가제출물을 준비하는 과정에서 어려움을 호소하고 있으며, 평가비용 외에 컨설팅 비용과 전담인력 투입 등으로 부담스러워 하고 있다. 제출물 작성법 교육, 온라인 교육·제출물자가 점검시스템 등 다양한 서비스를 제공하고 있지만 개발업체 입장에서는 아직도 어렵게 느껴지는 것 같다.


평가제출물은 평가자가 개발제품을 이해하기 쉽도록 일정한 틀(평가기준, 평가방법론)에 맞게 작성할 것을 권고하고 있다. 즉 개발업체는 평가자가 제품을 이해하기 쉽도록 쉽고 간결하게 작성해야 평가자도 제품에 대한 이해도가 높아진다. 하지만 평가기준이나 평가방법론을 이해하지 못하면, 장황한 서술이 되고 작성할 문서의 양은 많아지게 된다.


이러한 업체들의 사정을 감안해 제출물을 쉽고 간결하게 작성하는 방법을 제시할 필요가 있다. 하반기에는 이러한 작성샘플을 만들어 업체에 제공할 예정이다. 평가가 어렵지 않고 쉽게 다가설 수 있도록 다양한 서비스를 구축하고 있으며, 앞으로도 지속적으로 개선해 나갈 것이다.


아울러 정보보호제품 평가의 우수성 홍보에 힘을 기울일 것이다. 국내 보안시장은 아직도 공공시장에 많은 의존도를 보이고 있다. 그렇기 때문에 평가에 대한 의존도가 높아지게 되고, 어쩔 수 없이 통과해야할 관문으로 생각한다. 평가를 받게 되면 제품에 대한 보안성 및 안전성 향상 외에 업체의 이미지 제고 등 다양한 효과가 있음에도 아직까지 이러한 인식이 부족하다.


평가의 다양한 효과와 장점을 도출하고, 평가받은 제품이 공공시장 뿐만 아니라 민간시장에서도 인정받을 수 있도록 다양한 경로를 통해 홍보에 노력할 것이다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제