`국가공통평가기준` 새해 화두로

　지난해까지 K시리즈로 대표된 정보보호 제품에 대한 평가가 올해부터는 국제공통평가기준(CC)에 기반한 평가로 바뀔 것으로 보여 국내 정보보호 업계의 새로운 전환점이 될 전망이다.

　31일 업계에 따르면 국가정보원은 최근 가상사설망(VPN)에 이어 방화벽·침입탐지시스템(IDS)에 대해서도 국가기관용 보호프로파일(PP)을 개발했다. 보호프로파일(PP)이란 정보보호 제품에 필요한 보안기능 및 보증요구사항을 국제공통평가기준(CC)에 근거해 서술한 문서로 정보보호 제품을 평가하는 잣대다.

　국정원은 이와 함께 게이트웨이와 클라이언트간의 VPN PP도 개발, 방화벽·IDS용 PP와 함께 발표할 예정이다.

　이로써 주요 정보보호 제품에 대한 PP가 모두 마련돼 올해부터 정보보호 제품에 대한 평가가 CC기반으로 전환될 것으로 보인다.

　지난해 10월 PP가 개발된 VPN의 경우 아직까지 평가기관인 한국정보보호진흥원(KISA)과 정식 평가계약을 체결한 업체는 없지만 4개 업체가 이미 CC평가를 위한 자문을 진행중이어서 조만간 CC기반의 평가가 시작될 전망이다.

　KISA는 이와 관련, 지난해 개발한 게이트웨이간 VPN PP에 이어 이번에 게이트웨이-클라이언트간 VPN PP가 개발돼 VPN업계의 CC기반 평가 신청이 활발해질 것으로 보고 있다.

　KISA는 또 방화벽 업계도 CC기반의 평가 수요가 발생할 것으로 보고 있다. 방화벽이나 VPN이나 어차피 비슷한 제품이어서 VPN에 대한 평가를 신청하면서 방화벽에 대한 평가도 동시에 신청할 가능성이 높다는 것이다.

　하지만 IDS의 경우 CC기반의 평가가 본격적으로 진행되기까지는 상당한 시일이 걸릴 것으로 예상된다. 업체들간의 저가경쟁이 치열한 상황에서 제품당 1000만원이 넘는 평가인증비용을 부담해가면서까지 새로 평가를 받으려 하지 않을 것으로 예상되기 때문이다.

　정보보호 업계는 CC기반의 평가에 대해 일단은 관망세를 보이는 분위기다. 하지만 정통부와 국가정보원·KISA 등은 앞으로 EAL3급 이외 등급의 PP를 개발하는 한편 방화벽·VPN·IDS 이외의 다른 품목에 대해서도 CC기반의 평가를 적용할 예정이어서 늦어도 하반기부터는 업체들이 CC기반의 평가를 신청할 것으로 예상됐다.

　<박영하기자 yhpark@etnews.co.kr>