컴퓨터시스템 취약성 평가 국제 표준화시대 `눈앞`

　컴퓨터시스템의 취약성 평가에 대한 표준안이 발표돼 국내에도 이를 도입해야한다는 목소리가 높아지고 있다.

　지난해 12월 미국 비영리연구기관인 미트레(MITRE·http://www.mitre.org)는 컴퓨터시스템 취약성 평가를 위한 새로운 표준안인 ‘OVAL(Open Vulnerability Assessment Language)’을 발표했다. 이번 표준안은 미트레가 추진한 컴퓨터시스템 취약성 명칭 표준화인 ‘CVE(Common Vulnerability and Exposure)’ 제정에 이은 두번째 표준화 사업이다.

　이는 국내외 컴퓨터시스템 취약성 평가 제품군에 속하는 스캐너나 취약성 평가시스템들은 각각 독자적인 방법과 기준을 적용하고 있어 이를 신뢰할 수 있도록 통일된 방법론을 제시한 것이다. OVAL은 미국내에서 정부, 산업 및 교육분야의 각 전문가들에 의해 검토작업을 거쳐 최종 취약성 평가방법론으로 승인을 받았다.

　국내 스캐너 업계는 그동안 각사별로 개발한 취약성 분석 솔루션을 사용해 고객사의 취약성을 분석했으나 그 방법에 따라 결과치가 다르게 나타날 우려가 있어 이번에 제정된 표준안을 시급히 도입해야 한다고 주장하고 있다. 특히 통신이나 금융권 등 높은 신뢰성을 요구하는 고객의 경우 취약성 분석에 대해 해외에서도 인증할 수 있도록 검증된 방법을 사용해야 한다는 것이다.

　일부 국내업체들은 표준안 도입에 나선 상태다. 현재 시큐브(대표 홍기융) 등 업체들이 취약성 항목에 대해 미트레가 제정한 CVE 표준을 따르고 있으며 OVAL 쿼리 형태를 준수하고 있어 이르면 올 상반기내 서비스를 실시할 것으로 예상된다.

　<서동규기자 dkseo@etnews.co.kr>