보안제품 CC기반 평가 잣대 `보호프로파일` 국정원 `일방통행` 논란

　국제공통평가기준(CC:Common Criteria)에 근거해 정보보호제품을 평가하는데 필요한 보호프로파일(PP) 개발작업이 지나치게 관주도형으로 진행되고 있다는 지적이 일고 있다.

　국가정보원이 지난달 29일 ‘국가기관용 가상사설망(VPN) 게이트웨이 보호프로파일’을 개발, 공개하자 ‘업계의 현실을 반영하지 않은 반쪽짜리 PP’라는 지적이 일각에서 일고 있는 것. 보호프로파일(PP)은 정보보호 제품에 필요한 보안기능 및 보증요구사항을 공통평가기준(CC)에 근거해 서술한 문서로 정보보호 제품을 평가하는 잣대다.

　따라서 업체들은 PP에 어떤 내용을 포함하는가에 따라 향후 제품개발 전략이 달라지게 돼 첨예한 관심을 보이고 있다. 특히 CC기반의 평가제도는 VPN에 대해 처음 시도되는 것이어서 정보보호 업체들의 관심사로 떠오르고 있다.

　◇VPN PP의 문제점=최근 국정원이 발표한 VPN PP(v1.0)는 게이트웨이간의 보안기능 및 보증요구사항을 서술한 것이다. 하지만 현재 시판중인 VPN은 대부분이 클라이언트 환경에서 사용하는 제품이라는데 문제점이 있다. 클라이언트 환경을 지원하는 제품에 대해서는 이번 PP를 적용하기 어렵다는 것이 업계 관계자들의 얘기다.

　국정원은 이에 대해 “국가기관은 게이트웨이 대 게이트웨이 방식의 VPN을 사용하는 곳이 많다”며 “조만간 클라이언트 환경을 지원하는 제품에 대한 PP도 내놓을 계획이기 때문에 별 문제가 없다”고 밝혔다. 하지만 정보보호 업체 관계자들은 “업체들이 이미 제품을 만들어 시장에 판매하고 있는 상황이므로 PP 개발자가 업체들의 의견을 사전에 수렴했더라면 좀더 효율적이고 현실적인 PP를 개발할 수 있었을 것”이라고 입을 모았다.

　◇쟁점=국정원은 국가기관이라고 해서 많은 종류의 PP를 일일히 개발해줄 수는 없다는 입장이다. 국정원은 이에 따라 업체에서 PP를 개발해 오면 검토해준다는 계획이다. 하지만 국정원의 이같은 입장은 설득력이 떨어진다는 지적을 받고 있다. 한국정보보호진흥원(KISA) 조차도 PP를 개발하는데 몇개월씩 소요되는데, 관련 지식이 일천한 정보보호 업체 스스로가 PP를 개발해 국정원에 검토를 의뢰하는 것은 무리라는 것이 업체들의 주장이다.

　◇대안은 없나=국정원이 여러가지 정보보호 제품 가운데 이번에 VPN에 대한 PP를 가장 먼저 내놓은 것은 VPN이 CC에 의해 평가되는 첫 제품군이기 때문이다. 따라서 국정원은 VPN PP에 이어 조만간 방화벽과 침입탐지시스템(IDS)에 대해서도 PP를 개발해 발표할 예정이다. 현재 한국정보보호진흥원이 이들 제품에 대한 PP를 개발, 이달안에 최종안을 마련하고 국정원에 송부할 계획이다.

　하지만 PP를 개발하면서 국정원이나 KISA 모두 업체의 의견수렴 절차는 거치지 않았다. 국가기관이 일방적으로 만들고 그 기준에 따르라는 식으로 진행되고 있는 것이다. 이에 대해 정보보호 업체들은 “현실적으로 업체들이 스스로 PP를 개발할 능력이 되지 않는다면 공청회 등의 형식을 빌려서라도 업체들의 의견을 반영할 수 있을 것”이라고 주장한다.

　한 정보보호 업체 관계자는 “하드웨어 제품에 대한 평가기준 제정 논의도 활발하게 진행되고 있는 것으로 안다”며 “업체들이 신속히 국내외 시장상황에 대응할 수 있도록 평가기준을 새로 제정하거나 개정할 때 업체들도 일부나마 참여할 수 있는 장치 마련이 필요하다”고 말했다.

　<박영하기자 yhpark@etnews.co.kr>