기본분류

[취재수첩] 신규 모바일 보안 제품 평가기준 필요하다

이유지 기자
[디지털데일리 이유지기자] 보안 우려로 공공기관에 금기시 돼 왔던 모바일 오피스 구축이 최근 활성화되고 있다. 중앙부처, 공단·공사 등에 많은 공공기관들은 모바일 오피스 솔루션 도입을 활발히 추진하고 있는 것이다.

이같은 추세를 반영해 국가정보원과 행정안전부는 지난해 5월 공공기관이 안전한 모바일 오피스를 구축할 수 있도록 주요 부처와 산·학 전문가와 합동으로 ‘국가·공공기관 업무용 스마트폰 보안규격’을 마련, 제정했다.

공공기관은 이 규격에서 제시된 보안대책을 반영해 모바일 오피스를 구축해야 하기 때문에, 각종 모바일 보안 제품을 사용해야 한다.

국가정보원은 현재 이 보안규격에 제시된 보안 대책을 반영해 모바일 오피스를 구축한 공공기관을 대상으로 보안적합성 검증으로 그 안전성을 확인하고 있다. 하지만 아직까지 공식적으로 모바일 오피스와 관련해 보안적합성 검증을 통과한 공공기관은 없다.

그 이유로 국가정보원 IT보안인증사무국은 “모바일 보안 제품이 ‘국가·공공기관 업무용 스마트폰 보안규격’에 제시된 보안 대책을 구현하지 않았거나, 구현했더라도 이를 오해할 수 있는 취약점이 있어 납품업체가 수차례에 걸쳐 보완하느라 지연되고 있다”고 설명했다.

보안적합성 검증 완료 시점은 해당 업체가 빠른 시일 내에 제품을 보완하느냐에 따라 달라진다는 것이다.

하지만 보안업체들은 각자 개발·공급하는 모바일 보안 제품에 어떠한 보안기능을 반영하고 보완해야 하는지 혼란스러운 모습이다. 보안적합성 검증이 지연되는 원인도 상당부분 여기에 있다고 추정된다.

업무 효율성과 생산성을 높여 보다 선진화 업무환경을 구현하는 방식으로 이미 시대의 조류로 자리한 모바일 오피스가 공공 분야에서도 활성화 되려면 모바일 보안 제품의 안전성과 신뢰성을 검증할 수 있는 평가제도가 시급히 필요해 보인다.

모바일 환경이 확산되면서 최근 다양한 무선 및 모바일 보안 제품이 등장, 활용되고 있기 때문에 각 제품별 특성에 맞춰진 보안요건이 마련돼야 한다.

국가정보원도 모바일 보안 제품의 CC 의무화 검토를 시작한 것으로 알려진만큼, 평가기관·업계·학계 전문가들과 신속하게 논의를 진척시켰으면 하는 바람이다.

국가·공공기관이 보안 제품을 도입할 때 활용되는 대표적인 평가제도인 국제공통평가기준(CC)은 현재 무선랜 인증, 무선 침입방지 제품 등 일부만을 대상으로만 실시되고 있다. 우선은 모바일 백신류의 보안 제품, 무선 VPN(가상사설망), 모바일단말관리(MDM) 솔루션 등 신규 모바일 보안 제품으로도 확대 적용돼야 할 것 같다.

신규 모바일 보안 제품에 필요한 보안요구사항이 세부적으로 정의되면, 보안업체들도 보다 신속하게 공공기관이 사용할 수 있는 수준에 맞춰 제품을 안전하게 개발하고 적용할 수 있게 될 것이다.

앞으로 공공기관에서 모바일 오피스 도입이 가속화되면 보안적합성 검증 신청도 기하급수로 늘 수 있다는 점에서도 지금이 다양한 모바일 보안 제품을 대상으로 한 CC인증 시행을 전면화 하는데 적기라고 생각된다.

이것이 보안 제품 평가제도 미비나 한정된 검증 인력 등 리소스 한계로 공공기관에서 시스템을 구축해놓고도 사용하지 못해 투자를 낭비하게 되는 일을 사전에 방지할 수 있는 방법이다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널