<시리즈> 심층진단 정보보호산업 현주소 (19)

정보사회에서는 정보의 생산, 처리, 저장, 유통의 생명주기가 원활하게 이루어져야 하며 이를 방해하는 역기능적 위협에 대해서 적절한 정보보호대책을 수립하고 운영관리하는 것이 정보산업을 육성하고 타산업의 경쟁력을 확보할 수 있는 지름길임를 강조한 바 있다. 보안제품이란 기술적 정보보호대책을 뒷받침해 주는 소프트웨어 및 하드웨어 또는 이들의 복합체로서 IC카드를 비롯해 방화벽(Fire Wall),암호장비, 디지탈서명장비 등 다양한 형태와기능을 갖고 있다.

그러나 이들 보안제품들의 국내생산은 아직 너무도 미흡한 수준을 벗어나지 못하고 있으며 필요에 따라 완제품을 수입하여 사용하고 있는 실정이다. 그러나 보안제품에 대해서는 선진외국들도 수출입을 강력하게 통제하고 있으며 기술제휴도 금지하고 있는 경우가 대부분이다. 미국에서도 보안제품은 내부기능과 보안성 수준에 따라 네가지 형태로 구분하여 국가보안국(NSA)과 상무성이 엄격한 수출통제를 하고 있으며 그나마 보안성이 높다고 평가되는 제품은 수출을 금지하고 있다.

허가를 받아서 수출되는 제품들은 대부분 DES 암호알고리즘을 응용하는 제품들로서 DES의 보안성이 매우 취약하다고 인정되고 있는 현시점에서 볼 때수입할 수 있는 보안제품의 보안성도 크게 높지 않다.

또한 제조공정이 첨단화되고 있는 현재의 기술로서는 보안제품자체에 눈치챌 수 없는 함정이 있을 수 있으며 조그마한 칩하나만 부착하더라도 처리되는 중요정보를 그대로 저장하여 고장시 또는 서비스 기간중에 이를 도용할수도 있다.

그러므로 외국의 보안제품을 충분한 검증과정을 거치지 않고 정부나 공공기관에서 믿고 활용한다는 것은 매우 위험한 일이며 해서는 안되는 일이다. 우리나라에서도 보안제품은 국내에서 연구개발하여 보급되어야 한다는 윈칙을 갖고 있으며 이는 올바른 정책이라고 판단된다.

이제 보안제품을 국내에서 연구개발하고 이를 생산하는 정보보호산업이 활성화되기 위해서는 무엇보다도 보안성 평가기준이 제정되어야 한다. 보안성평가기준은 요구되는 보안의 수준을 등급별로 구분하고 각 등급에 필요한 평가기준을 설정함으로써 생산업체에서 보안등급에 적합한 제품을 연구개발하여 관련되는 공공기관의 평가승인을 받을 수 있도록 하며 사용자는 자기에게필요한 제품을 믿고 선택할 수 있도록 하기 위한 것이다.

미국에서도 오렌지북(Orange Book)이라하는 TCSEC을 제정하여 보안등급을D, C1, C2, B1, B2, B3, A1의 일곱가지 등급으로 나누고 각 등급별로 컴퓨터시스템이 갖추어야 할 기준을 설정하였으며 이를 전산망과 데이터베이스(DBMS)로 확장하여 TNI와 TDI도 제정하였다.

유럽에서는 영국, 프랑스, 독일, 네델란드가 제정한 ITSEC이 있으며 최근에는 미국, 유럽, 캐나다가 합의하여 만들어 낸 CC(Common Criteria)가 공통의 보안성 평가기준을 제시하고 있다.

국제 표준화기구에서도 표준화사업이 계속되고 있으나 이러한 보안성 평가기준이 보안성을 요구하는 다양한 정보기기 및 소프트웨어 제품에 적용되어무역장벽을 형성할 수 있는 근거가 될 수 있으므로 신중을 기하고 진행속도도 매우 느리게 추진되고 있다.

우리나라에서는 한국전산원과 한국전자통신연구소 등에서 TCSEC에 대한 번역과 연구를 하고 있지만 아직 구체적인 평가기준이 제정되지 못하고 있다.

이제는 우리나라도 지난 4월에 설립된 한국정보보호센터를 중심으로 우리환경에 맞는 보안성 평가기준을 제정하는 것이 시급한 일이며 이 기준에 의해서 민간부분에서 활용가능한 보안제품을 상품화할 수 있는 정보보호산업이활성화되어야 한다.

하루 빨리 국내에서 연구개발된 보안제품이 상용화될 수 있도록 산학연관이 합심하여 연구사업을 추진하여야 하며 초기단계에서 너무 완벽한 결과를기대해서는 안된다는 것도 명심해야 한다.

또한 전문인력과 기술확보가 어려운 이 분야에 정부기관의 대폭적인 지원이 필수적이라는 점을 강조하지 않을 수 없다.