[화요특집-방화벽.백신SW] 기고-정보보호시스템 평가와 산업발전

심주걸 한국정보보호센터 평가표준본부장

반도체, 컴퓨터 및 정보통신기술의 급속한 발전으로 인하여 인터넷 등 정보통신망 환경은 날로 변화하고 있으며 각종 컴퓨터 범죄, 해킹행위 등과 같은 다양한 역기능 또한 증가일로에 있다.

국내에서도 지난 97년 한해동안 발생한 전산망 해킹사고만 하더라도 61건에 달하고 있으며 미국의 경우에 88~95년간 매년 거의 2배씩 증가해 96년도에는 2천5백여건이 넘는 해킹사고가 일어난 것으로 조사되고 있다.

해킹 매년 2배 증가 각종

해킹으로부터 정보통신망을 보호하기 위한 정보보호대책은 개인의 사생활과 기업의 기밀정보를 보호해야 하고 나아가서는 국가안보 및 국익을 위하여 국가사회적으로 중요 정보자산에 대한 보호환경을 구축하는 방향으로 그 범위가 점차 확대되고 있다.

또 최근 국가기관 전반에 걸쳐 정보화가 급속히 진전됨에 따라 여러 가지 보안위협으로 국가 주요기반이 마비되는 상태로까지 악영향이 파급될 수도 있다.

다양한 정보통신 환경에 부합하는 정보보호대책을 적시에 확보하는 것이야 말로 국가사회적으로 시급히 추진해야 하는 전략적 과제다.

정보보호는 법, 제도, 행정 및 기술적 대책으로 이루어져야 하지만 기술적 대책이 핵심이라고 할 수 있다.

이를 활성화시키기 위해서는 관련 산업체를 육성하여 정보보호기술을 연구개발하고 우수한 정보보호제품을 생산토록 하는 것이다.

국가적으로는 국가, 공공기관 및 민간기관 등의 이용자가 보호수준에 따라 비용대비 효과측면을 고려하여 적절한 정보보호제품을 선택할 수 있는 환경을 제공해야 한다.

외국에서는 80년대부터 정보보호산업 분야가 미래의 국가사회 발전에 기반이 됨을 인식하고 정보보호산업 발전을 위한 국가정책을 시행해 왔다.

미국은 국가안보국(NSA:National Security Agency)에서 운영하는 국가컴퓨터보안센터(NCSC:National Computer Security Center)를 통해 1983년에 컴퓨터보안제품 평가기준인 TCSEC (Trusted Computer System Evaluation Criteria)을 제정하여 각종 정보보호시스템에 대해 평가하고 있다.

유럽에서는 영국, 독일, 프랑스 등이 「80년대 중반에 각기 자체 평가기준을 제정하여 정보보호제품을 평가시행해 오다가 지난 91년 영국, 독일, 프랑스, 네덜란드 4개국은 각국의평가기준을 조화시킨 정보보호시스템 평가기준인 ITSEC(Information Technology Security Evaluation Criteria)을 공동 개발하여 평가에 활용하고 있다.

현재 ITSEC을 평가에 적용하고 있는 나라는 기준제정에 참여한 국가외에도 이탈리아, 스웨덴, 호주 등이 있다.

캐나다는 미국과 유럽에 비해 다소 늦기는 했으나 93년에 정보보호시스템 평가기준인 CTCPEC(Canadian Trusted Computer Product Evaluation Criteria)을 개발하여 평가에 활용하고 있다.

CTCPEC은 TCSEC과 ITSEC을 상호 접목시켜 조화시킨 노력의 결과이며 그로 인해 캐나다는 이 분야에 상당한 기술을 축적하고 있다.

미국 83년 첫 제정

평가기준 개발경험과 평가기술을 확보하고 있는 미국, 영국, 캐나다, 독일, 프랑스, 네덜란드 6개국은 CC(Common Criteria)를 국제표준으로 제정하기 위해 국제표준화기구인 ISO를 중심으로 활발히 노력하고 있다.

자국의 정보보호산업 발전을 위해 표준화라고 하는 또다른 방법을 통하여 자국 평가제도의 기반을 국제적으로 확산시켜 국제사회에서의 우위를 선점하려 하고 있다.

현재 미국 등 선진국은 평가기술을 국가 보안사항으로 분류하여 보호하고 있으며 향후 CC가 국제 표준화되었을 경우 평가기술을 확보하지 못한 나라는 평가제품의 국가간 상호인정시 불이익을 받을 수밖에 없는 실정이다.

이렇게 국제사회에서 전략적으로 변화하는 정보보호시스템 평가제도 시행의 추진방향을 볼 때 우리나라도 정보화촉진기본법에 의하여 지난 96년에 범정부 차원에서 한국정보보호센터를 설립하여 정보보호시스템 평가제도의 기틀을 마련한 것은 매우 시의적절한 것이었다고 판단된다.

그간 정부와 정보보호센터의 노력의 결실로 지난 2월23일부로 최근 빈번한 해킹사고의 보안대책으로 각광받는 정보통신망 침입차단(방화벽) 시스템의 평가기준을 우선적으로 제정하여 평가 시행토록 하게 되었는데 이는 국내 정보보호산업 발전을 위한 새로운 국면을 맞이한 것으로 볼 수 있다.

방화벽` 우선 시행 이제 우리나라도 민간업체에서 개발한 침입차단 시스템을 우리나라 자체 평가기준으로 시험, 평가하여 국가, 공공기관은 물론 민간기관에서 각자의 보호수준에 적합한 침입차단 시스템을 도입, 운용할 수 있게 됨으로써 국가사회적으로 정보통신망 안전운영에 기여하게 되었다.

더불어 평가된 정보보호제품에 대한 인지도의 향상으로 인하여 산업체의 정보보호제품 개발의욕을 더욱 고취할 수 있게 되었다.

정보보호센터는 침입차단 시스템 평가제도의 운영에서 축적된 경험과 기술을 바탕으로 모든 정보보호시스템을 대상으로 하는 평가기준과 제도를 구축할 예정이다.

ISO의 CC 국제 표준화 동향을 예의 주시하여 일반 정보보호시스템 평가기준 개발에 반영함은 물론 ISO의 국제표준화 활동에 적극적으로 참여하여 우리의 입장이 반영되도록 노력할 것이다.

또 국내의 정보보호시장을 활성화시키고 정보보호산업 육성을 위한 효율적이고 체계적인 평가시행을 위한 연구개발을 지속적으로 추진하고자 한다.