글 | 목원대학교 컴퓨터공학부 여상수 교수(재난관리지도사) - ssyeo@mokwon.ac.kr
최근 정보보호시스템 도입제도는 정보서비스 기반을 확보하기 위한 절차이며 각종 재난ㆍ재해 위협과 사이버테러에 대응하기 위해 필요한 제도로 인식되고 있다.
정보보호 시스템을 구축하려는 국가기관 및 공공기관들은 보안 관련 인증을 필한 제품을 선호하고 있는 추세이다. 인증제품을 도입하려는 정보보호 시스템에 대한 검증은 당연히 필요한 절차인데, 국가 공인 평가 체계에 의해서 평가를 거쳐서 이미 인증이 된 제품이라면, 추가적인 검증 절차가 필요 없으며, 또한 도입을 추진하는 기관의 대외적 위상 제고에도 도움이 되기 때문인 것으로 풀이되고 있다. 특히 국가기관에서는 이미 관련 국내법에 의해서, 특정 인증 (또는 인증 레벨)을 득한 제품을 발주하도록 규정되어 있고 이것이 또한 인증 제품을 도입하게 되는 주요 이유가 될 것이다.
현재 국내에서는 국내 정보 보호 전담 기관들을 통해서, 암호 기능의 보증을 위한 검증필 암호모듈(CMVP, Cryptographic Module Validation Program) 제도, 공통평가기준(CC, Common Criteria)을 통한 정보보호제품 평가·인증, 그리고 정보보호 운영 수준의 보증을 위한 정보보안관리체계(ISMS, Information Security Management System)등을 도입하여 운영해오고 있는 상황이다. 이러한 서비스를 국가 기관에서 제공함으로써 IT 제품의 보안기능을 검증하여 국가 정보보호 수준을 향상시키고 있으며, 나아가 정보화 역기능으로부터 주요 자산을 보호할 수 있도록 국가기관 및 공공기관의 사용자에게 신뢰할 수 있는 정보보호 제품을 선택하는 방안도 제공하고 있다.
그러나 실제로는 대부분의 제도는 제품 수준의 보증제도이거나, 이미 운영되는 정보시스템에 대한 보안 관리 수준에 머물고 있다. 정작 운용 및 응용 시스템에 대한 보증제도는 정착되어 있지 않고 있다. 이러한 문제를 해결하기 위해서, 영국 및 캐나다에서는 CCTM 및 IPPP 제도를 통해 보안제품 특징과 성격에 맞는 평가와 인증을 수행하기 위한 보안성 평가 서비스를 제공하고 있으며, 이외에도 다양한 시스템 평가 기준과 방법론이 개발 및 운영되고 있는 실정이다. 이와 관련해서 국내에서도 정보보호 제품에 대한 보안성 평가 및 인증의 문제가 다시 논의되고 있으며, 현재 수준의 평가, 인증 수준이 아닌, 좀 더 다양하고 실제적인 정보보호 제품의 평가 및 인증 서비스의 필요성에 대한 요구의 증가를 인식하는 상황인 것으로 파악된다.
국가기관 및 공공기관에서 안전한 서비스 제공을 위해 도입하게 되는 행정정보보호 시스템에 대한 보안성 검증은 국민의 이익과 안전, 공공 서비스의 안전성 유지를 위해서, 매우 중요시 되어야 할 사항이 분명하다. 따라서 영국 및 캐나다 등의 선진 해외 사례 분석을 통해서 국내 국가기관 및 공공기관의 사용자에게 신뢰성을 제공할 수 있는 행정정보보호 시스템을 도입하는 방법에 대한 논의가 필요하다고 본다.
이러한 맥락에서 국가기관 및 공공기관에 도입되는 행정정보보호 시스템을 사전에 검증하는 방안인 “행정정보보호 시스템 사전 검증제”에 대한 도입도 매우 현실성 있는 방안이라고 판단된다. 일각에서는 국내 행정정보보호 시스템 사전 검증제를 도입을 서둘러야 한다고 주장한다. 행정정보보호 시스템 사전 검증제에서는. 행정정보보호용 시스템의 제품 기능을 분석하고, 제품의 보안 기능 요구사항의 유효성 증명을 위해 시험을 실시하고, 이를 통과한 제품에 한하여, 보증 마크를 부여하는 것으로서, 이 제도가 시행되면, 행정정보보호 시스템 도입을 하려는 국가기관 및 공공기관은 보증 마크의 유무를 가지고 도입하려는 시스템의 보안성을 판단할 수 있게 된다.
행정정보시스템 사전 검증제 도입을 위해서는 국내 인증기관, 평가기관, 시스템 개발업체, 도입(예상)기관 등이 충분한 논의를 거치고, 효과적인 사전 검증제도의 개발을 위한 연구 용역도 필요할 것으로 본다. 사전 검증제가 도입되었다고 가정했을 때, 다음과 같이 각 주체별 역할 분담이 가능하리라 본다.
* 인증기관: 최종적으로 보안 검증 표시 부여에 대한 결정을 하는 주체
- 시스템의 스킴 기준 및 절차에 대한 정기적인 검토를 보증
- 보안기능검증문서의 요구사항에 대한 유효성과 무결성을 보증
- 시험보고서의 검토를 기반으로 보안검증표시 부여 최종 결정
* 평가기관: 개발 업체의 의뢰를 통해서 시스템 보안성 평가를 실시하는 주체
- 평가 접수를 받고 인증 기관에 신청 접수를 통보
- 행정정보보호 시스템 제품별 시험 방법론 개발과 시험 환경 설정
- 기능성 시험 및 평가기관 지침에 명시된 절차에 의거한 유효성 검사 및 감사 실시
- 인증기관이 검토할 시험보고서, 시험보고서 요약문, 최종 보안기능검증문서, 제품 목록표 및 보안검증표시 부여 절차를 준비해야 한다.
* 개발업체: 행정정보보호 시스템 제품을 개발하고, 평가 인증을 신청하는 주체
- 평가기관의 검증시험 평가 항목에 따라 시스템의 보안기능검증문서 작성
- 행정정보보호 시스템의 제품 목록표 작성
- 시험 방법론, 계획, 스크립트 제작에 필요한 모든 기술 정보를 시험 평가기관에 제공
* 도입기관: 국가기관 또는 공공기관으로서 행정정보시스템을 도입하려는 주체
- 기관의 정보보호 시스템 요구사항 수립
- 행정정보보호 시스템의 제품 목록표 검색
- 행정정보보호 시스템의 제품 선정 및 도입
행정정보시스템 사전 검증제에 대한 논의와 연구가 더욱 활발하게 이루어져서, 제도 도입에 대한 실효성을 더욱 분명히 하고, 실제적인 제도 및 세부 도입 절차 구성까지 이어져야 할 것으로 본다. 이러한 일련의 논의와 연구를 통해서 국가 행정정보보호의 수준이 높아지고 지속적으로 관리될 수 있을 것을 기대해 본다.
참고자료:
* 국가정보원 IT보안인증사무국, "정보보호제품 평가인증 수행규정", 2008.
* 여상수, 이동범, 곽진, "사전 검증을 통한 행정정보보호시스템 도입 방안", 한국항행학회논문지, 2009.
재난포커스(http://www.di-focus.com)
