외산제품 보안적합성 검증 1년 걸린 속사정

국가정보원의 보안적합성 검증을 통과한 외산 제품이 첫 등장한 가운데 이들의 검증 기간이 국내 업체의 4배에 달한 것으로 드러나 그 배경에 관심이 쏠리고 있다.

실제로 지난 24일 보안적합성 검증을 획득한 한국쓰리콤-티핑포인트는 지난 해 10월 적합성 검증 접수를 한 뒤 검증필을 받기까지 10개월 가량 걸렸다. 외산 보안업체들의 검증 기간이 예상 외로 길어지면서 일부에선 이들을 차별 대우하는 것 아니냐는 지적이 제기되기도 했다.

하지만 외산 보안업체들이 검증필을 받기까지 시일이 오래 소요된 것은 국제공통평가기준(CC) 인증을 받은 당시 버전과 운영체제(OS)가 탑재된 하드웨어 제출 문제 때문이었던 것으로 밝혀졌다.

정보보호제품 공통평가방법론(CEM)에 따르면 CC인증을 받은 당시의 제품으로 보안 적합성 검증을 받아야 한다. 한국쓰리콤-티핑포인트는 보안 적합성 검증을 받는 과정에서 이 문제 때문에 고전을 면치 못했던 것으로 알려졌다.

한국쓰리콤-티핑포인트 침입방지시스템(IPS)은 현재 2.5버전이 사용되고 있다. 하지만 '티핑포인트 유니티원 버전 1.2'의 ▲400 ▲1200 ▲2000 ▲2400 제품군으로 CC인증을 받았기 때문에 1.2 버전이 사용된 OS 및 하드웨어 장비로 테스트를 받아야 했던 것. 2003년 장비로 테스트 받기 위해 티핑포인트 측은 본사와 연구개발(R&D) 센터 등에 급히 장비 공급을 요청했지만 쉽게 찾을 수 없어 시일이 걸렸던 것이다.

또 보안적합성 검증에 필요한 ETR(Evaluation Technical Report) 이슈 해결이 쉽지 않았다.

◆각 외산벤더 EAL2에서 EAL4까지 보안등급 달라

이번에 한국쓰리콤이 국정원의 보안적합성 검증을 통과한 반면 한발 앞서 신청했던 워치가드코리아는 여전히 검증 중인 점도 이슈로 떠올랐다. 워치가드코리아는 한국쓰리콤보다 3개월 전인 지난해 7월 외산 벤더로는 최초로 통합위협관리(UTM) 솔루션인 '워치가드 X 피크'와 '파이어박스 X 코어'에 대한 적합성 검증을 접수했다.

하지만 워치가드코리아는 접수한지 1년이 지났지만 아직 적합성 검증필을 획득하지 못했다. 이에 대해 워치가드코리아 최철호 과장은 "워치가드코리아는 EAL4(가) 등급으로 신청, 보안적합성 검증을 받은 다른 외산 벤더보다 보증요구사항이 높아 시일이 걸리는 것으로 보인다"고 말했다.

캐나다에서 8.3 버전으로 CC인증을 받은 워치가드는 7월 지금 버전인 9.0으로 CC인증을 갱신, 보안적합성 검증만 끝나면 쉽게 사후관리 절차도 마무리 될 것으로 예상하고 있다.

워치가드코리아보다 늦게 신청했으면서도 한 발 앞서 보안적합성 검증필을 획득한 한국쓰리콤-티핑포인트 IPS 솔루션의 경우 EAL2(다) 등급이다. 당시 1.2 버전이던 것을 현재 상용화된 2.5버전으로 CC인증을 갱신중인 한국쓰리콤-티핑포인트는 CC인증 갱신이 끝나면 국가보안기술연구소측에 사후관리를 요청할 계획이다.

업계 관계자는 "티핑포인트가 외산업체중 보안적합성 검토필을 처음 획득했지만, 국내 대다수 업체가 EAL4 등급으로 적합성 검증을 받았기 때문에 EAL2(다) 등급의 한계를 깨는 것이 앞으로의 과제가 될 것"이라고 말했다.

이밖에 올해 3월 통합보안관리(ESM) 솔루션으로 적합성 검증을 요청한 아크사이트는 EAL3+(나) 등급이다.

국정원 IT보안인증사무국 관계자는 "보안등급 및 제품 특성에 따라 검증기간은 달라질 수 있다"고 말한 뒤 "보안적합성 검증필 첫 획득 사례가 나옴에 따라 외산 벤더의 검증 요청이 줄을 이을 것"이라고 전망했다.