보안업체가 국가·공공기관에 정보보호제품을 납품하려면 국제공통평가기준(CC)인증을 필수적으로 받아야 하지만 인증관리기관의 관리소홀을 틈타 이를 악용하는 사례가 발생하고 있다.
18일 업계에 따르면 사용자 단말에 설치되는 보안 에이전트 프로그램은 운용체계(OS)가 업그레이드될 경우 새로 CC인증을 받도록 규정하고 있지만 일부 보안 업체들은 이를 준수하지 않은 채 과거 인증으로 공공기관에 납품하는 사례가 늘고 있다.
이 같은 사례는 무선랜 보안인증서버와 무선침입방지시스템(WIPS) 등 무선시스템 도입 시 단말에 설치되는 에이전트에서 심각한 것으로 드러났다.
업계 한 관계자는 “상당수의 보안업체들이 사용자 단말에서 사용되는 에이전트에 대한 CC인증을 생략한 채 무선보안 시스템을 공공기관에 공급하고 있다”며 “윈도비스타, 윈도7 등 사용자PC OS 버전이 업그레이드되면 이에 대해 새로운 CC를 받아야함에도 불구하고 기존 윈도XP 등에서 받은 CC를 그대로 전용하고 있다”고 말했다.
국정원 IT보안인증사무국은 윈도비스타, 윈도7 등 OS가 업그레이드되면 여기에 적용할 보안제품 역시 CC인증을 다시 받도록 하고 있다. 국정원 CC인증을 받은 제품을 사용하면 보안적합성 검사를 면제받을 수 있어 심사가 간편해진다. 그러나 관리 감독의 허점을 이용해 기존 버전 OS에서 받은 인증을 그대로 활용해 결과적으로 보안적합성 기준 위배는 물론 해킹에 노출될 수 있다는 지적이다.
최근 노트북PC, 스마트폰 등 모바일 기기의 증가로 무선랜 구축이 일반화되고 있는 가운데 다수의 무선보안 제품들은 윈도비스타, 윈도7 등 OS 버전 CC인증을 받지 않은 채 공급되고 있다.
이 같은 지적에도 불구하고 최근 공공기관에 관련 제품을 공급한 업체 한 관계자는 “OS와 하드웨어가 일체형인 서버라면 CC인증을 다시 받아야 하겠지만 에이전트와 서버는 상황이 다른 것으로 안다”며 “OS 버전이 다양하기 때문에 PC에 설치되는 에이전트의 CC인증 버전이 다르다고 해서 보안상 큰 문제가 되지는 않는다”고 설명하는 등 제도의 취지를 무색케 하고 있다.
하지만 보안제품은 최신 업데이트가 필수다. 만에 하나 발생할 수 있는 사고 가능성을 줄이기 위해서는 신규 출시되는 단말기기의 OS에 맞춰 단말에 설치되는 에이전트도 업데이트해야만 보안을 유지할 수 있다.
이에 대해 국정원 관계자는 “국정원 무선랜 인증시스템 보호 프로파일에는 무선랜 인증 서버와 무선랜 인증 클라이언트로 구성된다고 규정하고 있고, CC인증은 이 두 가지 조건을 모두 만족해야 한다”며 “최근 악성코드, 해킹 사고가 빈번해지는 상황에서 보안사고 예방을 위해 관리감독을 강화할 계획”이라고 말했다.
장윤정기자 linda@etnews.com
