CC평가, 첫 작품부터 편법 적용

　국내 정보보호 업체가 처음으로 공통평가기준(CC:Common Criteria) 기반 평가를 신청했으나 관련 보호프로파일(PP)이 마련돼 있지 않아 첫 평가부터 편법으로 진행될 전망이다.

　어울림정보기술(대표 장문수 http://www.oullim.co.kr)은 지난달 25일 국내 정보보호 업체로는 처음으로 CC평가 계약을 체결했다. 이번에 어울림정보기술이 한국정보보호진흥원과 평가계약을 체결한 제품은 단독 제품이 아니라 가상사설망(VPN)과 방화벽을 합친 통합형 제품이다.

　하지만 통합협 제품에 대한 PP는 아직 마련돼 있지 않아 보안목표명세서(ST:Security Target)에 요구사항을 반영하는 형태로 평가가 진행될 예정이다.

　정통부가 마련한 정보보호시스템 평가·인증지침에는 CC평가시 각 제품마다 PP를 제출하도록 돼 있지만 통합형에 대한 PP가 없어 편법으로 진행하는 것이다.

　이에 따라 정통부와 국가정보원이 PP개발을 추진하면서 시장상황을 제대로 파악하지 않고 PP를 개발했다는 지적을 받고 있다.

　업체의 한 관계자는 “지난해 정통부와 국정원이 PP를 개발할 때만해도 시장의 주류가 VPN·방화벽 통합제품이었는데, VPN과 방화벽의 PP를 따로따로 내놓았다”며 “이번에 통합형 제품에 대해 편법으로 CC평가를 진행키로 한 것은 업체의 요구에 따라 정책이 흔들리는 것 아니냐”고 지적했다.

　하지만 이에 대해 정통부 관계자는 “다른 나라에서도 아직까지 통합형 제품에 대해 CC평가가 진행된 사례가 없다”며 “통합형 PP개발을 추진하고 있으며 당분간은 어쩔 수 없이 ST에 반영해 평가할 수밖에 없다”고 말했다.

　한편 이번에 어울림정보기술이 통합형 제품에 대해 CC평가계약을 체결함으로써 앞으로 동종업계는 VPN이 아니라 VPN·방화벽 통합형 제품에 대해 CC평가를 받을 것으로 보인다.

　<박영하기자 yhpark@etnews.co.kr>