[취재수첩] 신규 모바일 보안 제품 평가기준 필요하다
- 가
- 가
이유지 기자
[디지털데일리 이유지기자] 보안 우려로 공공기관에 금기시 돼 왔던 모바일 오피스 구축이 최근 활성화되고 있다. 중앙부처, 공단·공사 등에 많은 공공기관들은 모바일 오피스 솔루션 도입을 활발히 추진하고 있는 것이다.
이같은 추세를 반영해 국가정보원과 행정안전부는 지난해 5월 공공기관이 안전한 모바일 오피스를 구축할 수 있도록 주요 부처와 산·학 전문가와 합동으로 ‘국가·공공기관 업무용 스마트폰 보안규격’을 마련, 제정했다.
공공기관은 이 규격에서 제시된 보안대책을 반영해 모바일 오피스를 구축해야 하기 때문에, 각종 모바일 보안 제품을 사용해야 한다.
국가정보원은 현재 이 보안규격에 제시된 보안 대책을 반영해 모바일 오피스를 구축한 공공기관을 대상으로 보안적합성 검증으로 그 안전성을 확인하고 있다. 하지만 아직까지 공식적으로 모바일 오피스와 관련해 보안적합성 검증을 통과한 공공기관은 없다.
그 이유로 국가정보원 IT보안인증사무국은 “모바일 보안 제품이 ‘국가·공공기관 업무용 스마트폰 보안규격’에 제시된 보안 대책을 구현하지 않았거나, 구현했더라도 이를 오해할 수 있는 취약점이 있어 납품업체가 수차례에 걸쳐 보완하느라 지연되고 있다”고 설명했다.
보안적합성 검증 완료 시점은 해당 업체가 빠른 시일 내에 제품을 보완하느냐에 따라 달라진다는 것이다.
하지만 보안업체들은 각자 개발·공급하는 모바일 보안 제품에 어떠한 보안기능을 반영하고 보완해야 하는지 혼란스러운 모습이다. 보안적합성 검증이 지연되는 원인도 상당부분 여기에 있다고 추정된다.
업무 효율성과 생산성을 높여 보다 선진화 업무환경을 구현하는 방식으로 이미 시대의 조류로 자리한 모바일 오피스가 공공 분야에서도 활성화 되려면 모바일 보안 제품의 안전성과 신뢰성을 검증할 수 있는 평가제도가 시급히 필요해 보인다.
모바일 환경이 확산되면서 최근 다양한 무선 및 모바일 보안 제품이 등장, 활용되고 있기 때문에 각 제품별 특성에 맞춰진 보안요건이 마련돼야 한다.
국가정보원도 모바일 보안 제품의 CC 의무화 검토를 시작한 것으로 알려진만큼, 평가기관·업계·학계 전문가들과 신속하게 논의를 진척시켰으면 하는 바람이다.
국가·공공기관이 보안 제품을 도입할 때 활용되는 대표적인 평가제도인 국제공통평가기준(CC)은 현재 무선랜 인증, 무선 침입방지 제품 등 일부만을 대상으로만 실시되고 있다. 우선은 모바일 백신류의 보안 제품, 무선 VPN(가상사설망), 모바일단말관리(MDM) 솔루션 등 신규 모바일 보안 제품으로도 확대 적용돼야 할 것 같다.
신규 모바일 보안 제품에 필요한 보안요구사항이 세부적으로 정의되면, 보안업체들도 보다 신속하게 공공기관이 사용할 수 있는 수준에 맞춰 제품을 안전하게 개발하고 적용할 수 있게 될 것이다.
앞으로 공공기관에서 모바일 오피스 도입이 가속화되면 보안적합성 검증 신청도 기하급수로 늘 수 있다는 점에서도 지금이 다양한 모바일 보안 제품을 대상으로 한 CC인증 시행을 전면화 하는데 적기라고 생각된다.
이것이 보안 제품 평가제도 미비나 한정된 검증 인력 등 리소스 한계로 공공기관에서 시스템을 구축해놓고도 사용하지 못해 투자를 낭비하게 되는 일을 사전에 방지할 수 있는 방법이다.
<이유지 기자> yjlee@ddaily.co.kr
이같은 추세를 반영해 국가정보원과 행정안전부는 지난해 5월 공공기관이 안전한 모바일 오피스를 구축할 수 있도록 주요 부처와 산·학 전문가와 합동으로 ‘국가·공공기관 업무용 스마트폰 보안규격’을 마련, 제정했다.
공공기관은 이 규격에서 제시된 보안대책을 반영해 모바일 오피스를 구축해야 하기 때문에, 각종 모바일 보안 제품을 사용해야 한다. 국가정보원은 현재 이 보안규격에 제시된 보안 대책을 반영해 모바일 오피스를 구축한 공공기관을 대상으로 보안적합성 검증으로 그 안전성을 확인하고 있다. 하지만 아직까지 공식적으로 모바일 오피스와 관련해 보안적합성 검증을 통과한 공공기관은 없다.
그 이유로 국가정보원 IT보안인증사무국은 “모바일 보안 제품이 ‘국가·공공기관 업무용 스마트폰 보안규격’에 제시된 보안 대책을 구현하지 않았거나, 구현했더라도 이를 오해할 수 있는 취약점이 있어 납품업체가 수차례에 걸쳐 보완하느라 지연되고 있다”고 설명했다.
보안적합성 검증 완료 시점은 해당 업체가 빠른 시일 내에 제품을 보완하느냐에 따라 달라진다는 것이다.
하지만 보안업체들은 각자 개발·공급하는 모바일 보안 제품에 어떠한 보안기능을 반영하고 보완해야 하는지 혼란스러운 모습이다. 보안적합성 검증이 지연되는 원인도 상당부분 여기에 있다고 추정된다.
업무 효율성과 생산성을 높여 보다 선진화 업무환경을 구현하는 방식으로 이미 시대의 조류로 자리한 모바일 오피스가 공공 분야에서도 활성화 되려면 모바일 보안 제품의 안전성과 신뢰성을 검증할 수 있는 평가제도가 시급히 필요해 보인다.
모바일 환경이 확산되면서 최근 다양한 무선 및 모바일 보안 제품이 등장, 활용되고 있기 때문에 각 제품별 특성에 맞춰진 보안요건이 마련돼야 한다.
국가정보원도 모바일 보안 제품의 CC 의무화 검토를 시작한 것으로 알려진만큼, 평가기관·업계·학계 전문가들과 신속하게 논의를 진척시켰으면 하는 바람이다.
국가·공공기관이 보안 제품을 도입할 때 활용되는 대표적인 평가제도인 국제공통평가기준(CC)은 현재 무선랜 인증, 무선 침입방지 제품 등 일부만을 대상으로만 실시되고 있다. 우선은 모바일 백신류의 보안 제품, 무선 VPN(가상사설망), 모바일단말관리(MDM) 솔루션 등 신규 모바일 보안 제품으로도 확대 적용돼야 할 것 같다.
신규 모바일 보안 제품에 필요한 보안요구사항이 세부적으로 정의되면, 보안업체들도 보다 신속하게 공공기관이 사용할 수 있는 수준에 맞춰 제품을 안전하게 개발하고 적용할 수 있게 될 것이다.
앞으로 공공기관에서 모바일 오피스 도입이 가속화되면 보안적합성 검증 신청도 기하급수로 늘 수 있다는 점에서도 지금이 다양한 모바일 보안 제품을 대상으로 한 CC인증 시행을 전면화 하는데 적기라고 생각된다.
이것이 보안 제품 평가제도 미비나 한정된 검증 인력 등 리소스 한계로 공공기관에서 시스템을 구축해놓고도 사용하지 못해 투자를 낭비하게 되는 일을 사전에 방지할 수 있는 방법이다.
<이유지 기자> yjlee@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
당신이 좋아할 만한 뉴스
많이 본 기사
연재기사
실시간 추천 뉴스
-
입사 축하금 300만원 지급…코인원, 백엔드 개발자 하반기 채용 ‘성료’
2024-09-20 18:20:55 -
[취재수첩] 지상파 콘텐츠 가치, 제대로 산정해야 할때
2024-09-20 16:08:31 -
금융당국 제동에 빗썸, KB국민은행과 신규 제휴 무산… NH농협은행과 6개월 더 연장
2024-09-20 15:28:10 -
공학한림원, 韓 제조업 가치 창출 위한 포럼 23일 개최
2024-09-20 15:17:19 -
광주은행, 신입행원 40여 명 공개 채용…"80% 지역 선발 예정"
2024-09-20 14:52:15
회사명: ㈜디지털데일리|제호: 디지털데일리|등록번호 : 서울아00039|등록발행연월일: 2005년 9월 6일|사업자 등록번호: 101-86-13419
주소: (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46)|대표전화: 02-334-7781|Fax: 02-334-7782
대표자: 양경진|편집국장: 채수웅|개인정보·청소년보호책임자: 오주엽
Copyright © DIGITAL DAILY Co.,Ltd. All Rights Reserved.