한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주>
정부·공공기관 및 국방에 제품 도입하려면 ‘국내용 CC 인증’ 필요해
CC 인증 제품 아닌 시스템과 네트워크 장비 ‘보안적합성 검증’ 받아야
[시큐리티팩트=김한경 안보전문기자] 사이버보안의 획기적인 신기술이 개발되더라도 정부·공공기관 또는 국방 영역에 그 기술이 반영된 제품이나 솔루션을 도입하려면 정부가 법적으로 인정한 권한을 가진 기관으로부터 ‘CC(Common Criteria, 공통평가기준) 인증’ 또는 국가정보원이나 군사안보지원사령부의 ‘보안적합성 검증’을 받아야 한다.
CC 인증은 정보보호제품의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도다. 한국인터넷진흥원·한국시스템보증·한국정보통신기술협회·한국정보보안기술원 등 6개 기관에서 평가하고, 국가보안기술연구소 IT인증사무국이 인증업무를 담당하는데, 국제상호인정협정(CCRA) 회원국이 공통으로 사용하는 평가기준 및 평가방법론을 적용한다.
CC 인증은 국제용과 국내용으로 구분된다. 우리나라는 CCRA 회원국이어서 CCRA에서 정한 기준 및 절차를 엄격히 준수한 국제용 CC 인증서를 발급할 권한이 있다. 국제용 CC 인증은 CCRA 회원국 상호간 인정된다. 하지만 국제용 CC 인증을 받으려면 시간과 비용이 많이 들어 우리나라에서만 인정되는 국내용 CC 인증도 함께 운영하고 있다.
보안적합성 검증은 국가정보원에서 정부·공공기관이 도입하는 정보보호시스템과 네트워크 장비에 대한 안정성을 검증하는 제도다. 단일 정보보호제품이 아닌 시스템과 네트워크 장비를 사용하려면 국가정보원의 보안적합성 검증 절차를 따라야 하며, 국방 분야는 이 권한이 군사안보지원사령부에 위임돼 있다.
도입 기관들은 국정원이나 군사안보지원사의 보안적합성 검증을 받은 후, 이 과정에서 발견된 취약점을 해결한 다음 해당 정보보호시스템 또는 네트워크 장비를 운영해야 한다. 또 국정원이 필요성을 인정하는 24개 정보보호시스템 유형은 CC 인증 제품을 반드시 사용해야 한다. 따라서 정부·공공기관 및 국방 분야에 납품하려면 최소한 국내용 CC 인증은 받아야 한다.
보안 신기술, 24개 정보보호 유형과 기존 평가기준으로 평가 어려워
그러면 24개 정보보호시스템 유형에 해당하지 않는 보안 신기술일 경우 어떻게 해야 할까? 또 24개 유형에 포함되더라도 새로운 기술이라서 기존 평가기준과 방법으로는 평가가 어려울 경우 해법은 무엇일까? 이에 대해 국정원 관계자는 “도입하려는 기관에서 먼저 시스템을 구축하고, 보안적합성 검증을 받으면 가능하다”고 말한다.
이와 관련, 새로운 개념의 보안 신기술을 개발한 한 업체 대표는 CC 인증을 받기 위해 자신의 제품을 과기정통부에 문의하자, “24개 유형에 해당하지 않아 CC 인증은 어려우며, 도입하려는 기관에서 국정원의 보안적합성 검증을 받으면 된다”는 얘기를 들었다고 했다. 하지만 현실은 어떤 기관도 그런 모험을 시도하는 실무자가 거의 없다는 것이다.
이 기업의 대표는 과거 국정원에서 CC 인증 업무를 담당했던 고위관계자도 만났다. 그로부터 “24개 유형은 보안에 관한 모든 것을 커버하는 고속도로”라면서 “신제품은 그 고속도로에 차선을 그리는 일이므로 국정원과 과기정통부가 협의하면 가능함에도 선례가 없다는 핑계로 기피하는 것”이라는 얘기를 들었다고 한다.
보안적합성 검증 대신하는 ‘시험성적서 발급’에도 한계 존재해
국방 분야, 국정원 보안적합성 검증 받았어도 다시 검증 거쳐야
CC 인증은 정보보호제품의 보안성을 평가기관에서 평가하고 이에 대한 결과를 인증기관에서 인증하는 제도다. 한국인터넷진흥원·한국시스템보증·한국정보통신기술협회·한국정보보안기술원 등 6개 기관에서 평가하고, 국가보안기술연구소 IT인증사무국이 인증업무를 담당하는데, 국제상호인정협정(CCRA) 회원국이 공통으로 사용하는 평가기준 및 평가방법론을 적용한다.
CC 인증은 국제용과 국내용으로 구분된다. 우리나라는 CCRA 회원국이어서 CCRA에서 정한 기준 및 절차를 엄격히 준수한 국제용 CC 인증서를 발급할 권한이 있다. 국제용 CC 인증은 CCRA 회원국 상호간 인정된다. 하지만 국제용 CC 인증을 받으려면 시간과 비용이 많이 들어 우리나라에서만 인정되는 국내용 CC 인증도 함께 운영하고 있다.
보안적합성 검증은 국가정보원에서 정부·공공기관이 도입하는 정보보호시스템과 네트워크 장비에 대한 안정성을 검증하는 제도다. 단일 정보보호제품이 아닌 시스템과 네트워크 장비를 사용하려면 국가정보원의 보안적합성 검증 절차를 따라야 하며, 국방 분야는 이 권한이 군사안보지원사령부에 위임돼 있다.
도입 기관들은 국정원이나 군사안보지원사의 보안적합성 검증을 받은 후, 이 과정에서 발견된 취약점을 해결한 다음 해당 정보보호시스템 또는 네트워크 장비를 운영해야 한다. 또 국정원이 필요성을 인정하는 24개 정보보호시스템 유형은 CC 인증 제품을 반드시 사용해야 한다. 따라서 정부·공공기관 및 국방 분야에 납품하려면 최소한 국내용 CC 인증은 받아야 한다.
보안 신기술, 24개 정보보호 유형과 기존 평가기준으로 평가 어려워
그러면 24개 정보보호시스템 유형에 해당하지 않는 보안 신기술일 경우 어떻게 해야 할까? 또 24개 유형에 포함되더라도 새로운 기술이라서 기존 평가기준과 방법으로는 평가가 어려울 경우 해법은 무엇일까? 이에 대해 국정원 관계자는 “도입하려는 기관에서 먼저 시스템을 구축하고, 보안적합성 검증을 받으면 가능하다”고 말한다.
이와 관련, 새로운 개념의 보안 신기술을 개발한 한 업체 대표는 CC 인증을 받기 위해 자신의 제품을 과기정통부에 문의하자, “24개 유형에 해당하지 않아 CC 인증은 어려우며, 도입하려는 기관에서 국정원의 보안적합성 검증을 받으면 된다”는 얘기를 들었다고 했다. 하지만 현실은 어떤 기관도 그런 모험을 시도하는 실무자가 거의 없다는 것이다.
이 기업의 대표는 과거 국정원에서 CC 인증 업무를 담당했던 고위관계자도 만났다. 그로부터 “24개 유형은 보안에 관한 모든 것을 커버하는 고속도로”라면서 “신제품은 그 고속도로에 차선을 그리는 일이므로 국정원과 과기정통부가 협의하면 가능함에도 선례가 없다는 핑계로 기피하는 것”이라는 얘기를 들었다고 한다.
보안적합성 검증 대신하는 ‘시험성적서 발급’에도 한계 존재해
국방 분야, 국정원 보안적합성 검증 받았어도 다시 검증 거쳐야
보안적합성 검증 대신 시험성적서를 발급받는 방법도 있다. 과거에 국정원이 네트워크 장비를 대상으로 실시하던 것을 2016년부터 정보보호제품으로 확대한 제도다. 공인된 시험기관으로부터 보안기능 평가를 거쳐 시험성적서를 발급받은 네트워크 장비와 정보보호 제품은 정부·공공기관에 도입되더라도 보안적합성 검증을 별도로 받지 않는다.
하지만 이런 시험기관들도 신기술에 대해서는 “시험성적서를 내줄 제품이 아닌 것 같다”는 애매한 답변으로 일관한다. 따라서 신기술은 시험성적서 발급도, 평가기관들의 평가를 통한 인증서 발급도 쉽지 않은 상황이다. 결국 아무리 획기적인 보안 신기술이 나와도 기관장이 책임을 지겠다는 자세로 결심하지 않는 한 도입이 어려운 실정이다.
국방 분야에 진출하려는 기업은 과정을 한 단계 더 겪어야 한다. 국방 분야의 인증 권한은 앞서 언급했듯이 군사안보지원사가 갖고 있다. 따라서 국정원의 보안적합성 검증을 통과했더라도 다시 군사안보지원사의 검증을 받아야 한다. 군사안보지원사 정보보호인증센터 관계자는 “이 경우 서류 검토로 끝나기 때문에 시간은 오래 걸리지 않는다”고 말했다.
하지만 이미 검증을 받았더라도 시스템 구성이나 제품 사양이 변경되면 얘기는 달라진다. 이 경우 달라진 부분은 다시 보안적합성 검증 과정을 거쳐야 한다. 안보지원사는 2017년에 정보보호인증센터가 만들어져 국정원보다 축적된 경험과 노하우가 부족하기 때문에 국정원과 협의하면서 부족한 부분은 지원 받는다고 센터 관계자는 말했다.
보안기업, 소통 창구 개설되지 않아 애로...기존 틀에 맞지 않아 막막
정부, 신기술 테스트해 도입할 길 열고 관련업무 전담조직도 만들어야
하지만 이런 시험기관들도 신기술에 대해서는 “시험성적서를 내줄 제품이 아닌 것 같다”는 애매한 답변으로 일관한다. 따라서 신기술은 시험성적서 발급도, 평가기관들의 평가를 통한 인증서 발급도 쉽지 않은 상황이다. 결국 아무리 획기적인 보안 신기술이 나와도 기관장이 책임을 지겠다는 자세로 결심하지 않는 한 도입이 어려운 실정이다.
국방 분야에 진출하려는 기업은 과정을 한 단계 더 겪어야 한다. 국방 분야의 인증 권한은 앞서 언급했듯이 군사안보지원사가 갖고 있다. 따라서 국정원의 보안적합성 검증을 통과했더라도 다시 군사안보지원사의 검증을 받아야 한다. 군사안보지원사 정보보호인증센터 관계자는 “이 경우 서류 검토로 끝나기 때문에 시간은 오래 걸리지 않는다”고 말했다.
하지만 이미 검증을 받았더라도 시스템 구성이나 제품 사양이 변경되면 얘기는 달라진다. 이 경우 달라진 부분은 다시 보안적합성 검증 과정을 거쳐야 한다. 안보지원사는 2017년에 정보보호인증센터가 만들어져 국정원보다 축적된 경험과 노하우가 부족하기 때문에 국정원과 협의하면서 부족한 부분은 지원 받는다고 센터 관계자는 말했다.
보안기업, 소통 창구 개설되지 않아 애로...기존 틀에 맞지 않아 막막
정부, 신기술 테스트해 도입할 길 열고 관련업무 전담조직도 만들어야
CC 인증과 보안적합성 검증을 받는 과정에서 보안 기업들이 가장 힘들어 하는 것은 전문적인 분야임에도 소통 창구가 제대로 개설되지 않아 어느 기관 누구를 통해서 접근해야 할지 모른다는 것이다. 여러 번 시행착오 끝에 인증과 검증 절차를 알게 되더라도 기존 제도의 틀에 맞지 않을 경우 또 다시 막막한 상황에 부딪히게 된다.
정부가 CC 인증을 받도록 제도화하고 국정원과 군사안보지원사가 보안적합성 검증을 실시하는 근본 이유는 해당 시스템의 보안성을 높이기 위해서다. 그런데 보안성을 높일 수 있는 신기술들이 제도의 걸림돌 때문에 도입되지 못하는 이율배반적 상황이 만들어진다. 이 때 가장 바람직한 해결책은 무엇일까?
결국 정부가 나서서 신기술의 테스트베드를 만들고, 우리만의 평가기준과 방법을 개발해 테스트를 통과하면 그것을 근거로 정부·공공기관과 국방에서 도입할 수 있도록 길을 열어줘야 한다. 언제까지 남이 만들어주길 바라고 그것이 족쇄가 돼서 세계적인 신기술을 개발하고도 국내에서 적용하지 못하는 상황을 보고만 있을 것인가?
이를 지원하기 위해 전문성을 가진 조직이 관련부처 산하에 별도로 만들어져야 하고 보안 기업들과 유기적인 소통도 이뤄져야 한다. 그래야 우수한 기술력을 가진 보안 벤처기업들이 국내에서 레퍼런스를 만들고, 이를 바탕으로 해외로 진출할 기회를 갖게 된다. 정부가 한·일 갈등으로 국내 기업의 중요성을 인식한 지금이 추진할 적기다.
정부가 CC 인증을 받도록 제도화하고 국정원과 군사안보지원사가 보안적합성 검증을 실시하는 근본 이유는 해당 시스템의 보안성을 높이기 위해서다. 그런데 보안성을 높일 수 있는 신기술들이 제도의 걸림돌 때문에 도입되지 못하는 이율배반적 상황이 만들어진다. 이 때 가장 바람직한 해결책은 무엇일까?
결국 정부가 나서서 신기술의 테스트베드를 만들고, 우리만의 평가기준과 방법을 개발해 테스트를 통과하면 그것을 근거로 정부·공공기관과 국방에서 도입할 수 있도록 길을 열어줘야 한다. 언제까지 남이 만들어주길 바라고 그것이 족쇄가 돼서 세계적인 신기술을 개발하고도 국내에서 적용하지 못하는 상황을 보고만 있을 것인가?
이를 지원하기 위해 전문성을 가진 조직이 관련부처 산하에 별도로 만들어져야 하고 보안 기업들과 유기적인 소통도 이뤄져야 한다. 그래야 우수한 기술력을 가진 보안 벤처기업들이 국내에서 레퍼런스를 만들고, 이를 바탕으로 해외로 진출할 기회를 갖게 된다. 정부가 한·일 갈등으로 국내 기업의 중요성을 인식한 지금이 추진할 적기다.