법제도/정책

정보보안제품에 국가공인 BMT 적용…업계 기대 “객관적 지표될 것”

이민형 기자
- CC인증 보완책으로 활용 가능…보안솔루션 품질향상에 일조 예상

[디지털데일리 이민형기자] 앞으로 공공기관에 정보보안제품(보안솔루션)을 납품하는 보안업체들의 부담과 불만이 크게 줄어들 전망이다. 오는 2월부터 ‘정보보안제품 성능평가제도’가 시행되기 때문이다.

행정안전부에서 추진하는 성능평가제도는 각 영역별 보안솔루션을 객관적인 지표에 따라 성능을 평가해 우수한 제품을 공공기관 등에 납품하도록 하는 것을 목적으로 하고 있다. 이른바 보안적합성 검증의 확대판이라고 볼 수 있다.

정부에서는 성능평가로 보안솔루션의 질이 향상될 것을 기대하고 있으며, 보안업계에서는 불필요한 벤치마크테스트(BMT)를 하지 않고 객관적 지표로 제품을 평가받을 수 있어 경쟁력이 확보될 것으로 내다보고 있다.

23일 황규철 행안부 정보보호정책과장은 “보안솔루션 성능평가제도는 고도화되는 위협에 대응하기 위해 우수한 성능을 보유한 보안솔루션을 가려내기 위한 취지로 추진된다”며 “기존 CC인증 체계는 국가정보화기본법 상 최소한의 여건을 명시한 것으로 성능에 대한 부분은 빠져있다. 이를 성능평가제로도 보완하기 위한 것”이라고 말했다.

국가정보화기본법 제38조1항에는 ‘행정안전부장관은 관계 기관의 장과 협의해 정보보호시스템의 성능과 신뢰도에 관한 기준을 정해 고시하고, 정보보호시스템을 제조하거나 수입하는 자에게 그 기준을 지킬 것을 권고할 수 있다’고 명시돼 있다.

보안솔루션 성능평가제도는 국가정보화기본법을 기본으로 보안솔루션마다 객관적인 지표를 마련해 그것에 따라 품질을 측정하게 된다. 국가에서 직접 평가하고 인증하기 때문에 별도의 BMT등이 필요하지 않다. 비용절감, 시간단축 등의 이득을 누릴 수 있게 된 것.

황 과장은 “많은 보안업체들이 발주되는 사업마다 BMT를 진행해 적지 않은 부담을 느끼고 있다. 이번 성능평가제도는 보안업체들의 부담감을 줄일 수 있을 것으로 기대된다”고 설명했다.

행안부는 성능평가체계를 본격 시행하기에 앞서 2월 중 웹방화벽과 IPS(침입방지시스템)에 대해 시범적으로 성능평가를 실시할 계획이다. 성능평가기관은 한국인터넷진흥원이며, 시범사업의 추이를 보고 다른 보안솔루션으로 성능평가를 확대할 계획이다. 성능평가 대상은 CC인증을 획득한 모든 제품이다.

성능평가제도는 당분간 무료로 진행될 계획이다. 황 과장은 “제도 초기단계이기 때문에 3~4년간은 성능평가를 무료로 진행할 것”이라며 “향후 조달청에 제품을 등록할 때 수수료를 내는 방향을 생각하고 있지만, 아직 초기단계이기 때문에 다양한 방안을 생각하고 있다”고 전했다.

성능평가제도 시행으로 기술의 고도화가 이뤄질 것으로 기대된다. 우수제품으로 선정되는 기준이 ‘국가정보화기본법 38조에 부합하고, 성능이 우수한 제품’이기 때문이다. 출시시기, 가격 등이 배제되고 순수 성능만을 보기 때문에, 국내 보안솔루션의 품질이 높아진다는 논리다.

보안업계 관계자는 “당초 행안부의 성능평가제도는 보안업계의 해외시장 진출을 위해 ‘성능위주의 제품 평가’를 목적으로 했다”며 “최종목적은 다소 변경됐으나, 국내 보안솔루션의 품질 강화 측면에서는 바람직하다고 본다. 게다가 후발업체들에게도 열린 기회를 준다는 점에서 보안시장 활성화에 도움을 줄 것으로 예상된다”고 전했다.

한편 한국인터넷진흥원은 성능평가제도 기준과 관련, CC인증에서 요하는 기준은 갈음하고 성능 영역만 따로 수립·측정할 계획이다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널