방화벽·백신 등 정보보호제품 성능평가 내년부터 본격 시행

– 2018년 4종, 2020년까지 총 10종 확대…성능평가기관 지정 내주 공고 예정

정보보호제품 성능평가 시대가 열린다.

내년부터 방화벽을 시작으로 안티바이러스(백신), 지능형지속위협(APT) 대응장비, 디도스(DDoS, 분산서비스거부) 대응 장비를 대상으로 정보보호제품 성능평가 제도가 본격 시행된다. 평가 대상제품은 매년 단계별로 확장, 오는 2020년에는 총 10종으로 평가대상이 확대될 예정이다.

정보보호제품 성능평가 제도는 정보보호 기업의 기술력 향상과 국가기관에서 정보보호 제품 도입시 성능이 우수한 제품을 선택할 수 있도록 지원하기 위해 마련됐다.

성능평가는 정보보호제품이 운영환경에서 정상기능 및 공격에 적절히 대응하는지 정보를 과학기술정보통신부에서 정한 성능평가 항목에 따라 측정해 결과를 제공하는 제도다.

정보보호 주요기능 구현, 보안기능 처리성능, 네트워크와 시스템 처리성능, 자원 효율성 등을 평가한다.

과기정통부는 성능평가를 바탕으로 가격중심 위주 경쟁이 진행돼온 정보보호제품 시장을 성능중심으로 전환해 정보보호산업 체질을 개선하겠다는 정책을 발표한 바 있다.

이 제도를 본격 시행에 앞서 그동안 KISA를 통해 침입방지시스템(IPS), 웹방화벽, 차세대방화벽, APT 대응장비를 대상으로 시범평가를 진행했다.

정보보호제품 성능평가 제도를 시행하기 위해서는 우선 정보보호제품 성능평가기관을 지정해야 한다. 과기정통부는 조만간 평가기관 지정 공고를 낼 예정이다.

이상무 KISA 정보보호산업본부 보안성능인증팀장은 22일 열린 제도 설명회에서 “다음 주 중 과기정통부에서 정보보호제품 성능평가기관 지정 공고를 낼 것”이라며 “신청·접수를 받아 성능평가 업무를 수행할 수 있는 조직·인력·설비 등의 요건을 갖췄는지 서류검토와 현장실사 단계를 거쳐 평가기관이 지정될 예정”이라고 말했다.

KISA는 성능평가기관이 이르면 내년 1월, 늦어도 상반기 중에는 지정될 것으로 예상하고 있다.

평가대상 제품은 내년부터 방화벽을 대상으로 우선 시행한 뒤 백신, 샌드박스 기반 APT 대응장비, 디도스 대응장비까지 확대한다. 2019년에는 웹방화벽, 차세대방화벽, IPS, 소스코드 보안약점 분석도구로 넓힌다.

2020년에는 IPSec 기반 가상사설망(VPN)과 SSL/TLS 기반 VPN, 네트워크 데이터유출방지(DLP)까지 대상이 된다.

앞으로 정부는 공공기관이 관련 정보보호제품을 도입할 때 공통평가기준(CC)인증 필수유형 중 일부는 성능평가 결과를 활용할 수 있도록 추진할 방침이다. 이와 관련해 과기정통부와 국가정보원 등이 협의하고 있다.

아울러 소프트웨어 벤치마크테스트 등 의무적 평가대상이 중복되는 제품의 경우 성능평가 결과를 대신 활용할 수 있도록 권고하고 가이드라인을 만들 계획이다. 국가정보자원관리원의 정보자원기술기준 검증과 최대한 중복되지 않도록 항목 조정 등과 관련해 관계기관과 협의할 예정이라고 KISA는 설명했다.

하지만 관계기관 협의와 정책 확정·발표가 늦어질 경우 시행 초기에 CC 등 기존 공공기관 도입시 필수로 받아야 하는 인증 외에 성능평가 제도 시행으로 보안업체들의 중복 평가·인증에 따른 부담과 제도 시행 일부 혼란은 불가피할 것으로 예상된다.

한편, KISA는 내년 상반기부터 성능평가를 받고자 하는 정보보호 업체들이 KISA 내 오픈테스트랩 시험장비를 활용해 예비 성능평가를 시행해볼 수 있도록 지원할 방침이다.

정보보호제품 성능평가는 정보보호 산업의 진흥에 관한 법률(정보보호산업법)에 근거를 두고 있다. 과기정통부는 지난 8월 정보보호제품 성능평가 운영지침을 고시해 성능평가 체계와 평가 대상, 성능평가기관 지정요건, 평가자 자격 등을 명시했다.

정보보호제품 성능평가기관 신청에는 기존 CC와 시험성적서 평가를 진행하고 있는 민간 정보보호제품 평가기관들이 신청할 것으로 보인다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network