시스템적 사전 차단 허점
모니터랩이 CC(Common Criteria) 인증 만료를 인지하지 못한 채 웹방화벽 제품을 조달 시장에 판매했다가 뒤늦게 취소 조치에 나섰다. 인증 관리 부실과 함께 조달 시스템의 사전 차단 기능 미흡이 동시에 드러났다는 지적이다.
18일 업계에 따르면 모니터랩 웹방화벽 'AIWAF V5.0' 제품군의 CC 인증은 지난 2월 18일 종료됐으나, 이후 나라장터를 통해 총 4건의 판매가 이뤄진 것으로 확인됐다.
CC 인증은 국가정보원이 주관해 보안 기능과 설계 전반을 평가한 뒤 발급하는 국제 기준 보안 인증이다. 공공조달 시장에서는 해당 인증을 통해 제품이 국가용 보안 요구사항을 충족하는지를 판단한다. 이 때문에 인증 만료 여부는 공공기관 도입 과정에서 중요한 판단 요소로 작용한다.
모니터랩은 해당 사실을 확인하고 지난 4일 조달청 종합쇼핑몰에서 해당 제품의 게재를 중단했다. 또 발생한 구매 건에 대해 각 고객 기관에 취소를 요청해 최종 처리를 완료했다.
이번 사례는 보안 인증의 공백이 실제 조달 과정에서 확인되지 않아 시장 혼선으로 이어진 건이다. 조달청 시스템이 CC 인증 만료 여부를 사전 차단하지 못해 구매가 발생했다는 점은 관리 체계의 허점으로 평가된다.
모니터랩은 현재 후속 제품인 'AIWAAP V6.0' 판매를 위해 조달청 제품 등록 절차를 진행 중이다. 앞서 기존 웹방화벽 브랜드 'AIWAF'는 최근 API 보호 기능을 강화하면서 'AIWAAP'로 변경됐다.
모니터랩 관계자는 “조달 판매 관리 부실에 대해 반성하고 깊은 유감을 표한다”며 “인증 절차는 고객 신뢰와 직결되는 중요한 요소인 만큼 향후 인증 관리와 관련 절차를 보다 철저히 운영하겠다”고 말했다.
박진형 기자 jin@etnews.com
