22일 과기정통부와 KISA는 서울 양재엘타워에서 정보보호제품 성능평가 제도를 소개하는 설명회를 개최했다.

정보보호제품 성능평가는 정보보호제품이 운영환경에서 정상기능 및 공격에 적절히 대응하는지 정도를 과기정통부에서 정한 성능평가 항목에 따라 측정해 결과를 제공하는 것으로, 가격중심에서 성능중심으로 시장을 전환해 정보보호산업 체질을 개선하기 위해 마련됐다.

이 제도는 2012년부터 추진되기 시작했으며 2014년까지 성능평가 인프라를 구축했다. 2015년 정보보호산업법 제정 등을 통해 법적 근거를 마련했고, 지난해 시범평가를 통한 방법론 개선에 돌입했다. 올해부터는 성능평가 지침을 고시하고 성능평가기관 지정에 나선다.

보안기능 보유여부를 평가하는 기존 정보보호 인증제도에서는 가격 경쟁을 통해 제품 도입이 결정되고 있다. 과도한 출혈경쟁은 국내기업의 수익성 악화와 품질저하를 초래한다. 국내기업의 수출액 비율은 2014년 21.1%에서 2015년 19.8%, 2016년 16.8%로 감소하고 있으며, 국내시장에서 외국산 점유율도 높아지고 있다.

2014년부터 지난해까지 실시한 시범평가 결과 ▲침입방지 시스템 25.48% ▲웹방화벽 10.28% ▲차세대 방화벽 17.9% ▲지능형지속위협(APT) 대응장비 26.91%로 보안성능이 향상됐다는 설명이다.

이 제도는 과기정통부, KISA, 성능평가기관 등의 체계를 통해 진행된다. 과기정통부는 정책기관으로 성능평가기관 지정 및 취소 등의 권한을 갖는다. KISA는 성능평가기관 지정심사 및 관리, 성능평가자 양성 및 자격관리, 기술심의위원회 운영 역할을 한다. 기술심위원회는 성능평가와 관련한 심의를 한다.

성능평가기관의 경우 내주 공고를 통해 신청을 받고 내달부터 서류 검토 및 현장 실사 단계를 거쳐 업무를 수행할 수 있는 조직, 인력, 설비 등의 요건을 갖춘 곳을 내년 초에 지정할 계획이다.

성능평가가 처음 시행되는 점을 고려해 우선 상반기에 방화벽 제품에 대해 적용하고 추후 안티바이러스, 샌드박스 기반 APT 대응장비, 디도스(DDoS) 대응 장비로 확대하고, 2020년까지 10종의 제품으로 평가범위를 늘린다.

2019년에는 ▲웹방화벽 ▲차세대 방화벽 ▲침입방지 시스템 ▲소스코드 보안약점 분석도구, 2020년에는 IPSec 기반 가상사설망, SSL/TLS 기반 가상사설망과 네트워크 DLP에 대한 성능평가를 실시한다.

또한, 다양한 정보보호제품을 대상으로 평가업무를 수행할 수 있도록 2017년까지 51명의 인력을 양성한다.

정부는 성능평가 이용을 활성화하기 위해 민간뿐 아니라 공공기관으로 활용을 늘리고, 공공기관 도입 때 CC인증 필수 유형 중 일부 유형에 대해 성능평가 결과를 이용할 수 있도록 관계기관과 협의하고 있다.

또, KISA 내 오픈 테스트랩의 시험장비를 활용할 수 있도록 지원하고 기업의 중복인증을 방지할 수 있도록 추진한다. 소프트웨어 품질성능 평가시험(BMT) 대상 제품 중 정보보호제품은 최대한 성능평가 결과를 대신 활용할 수 있도록 권고하고 가이드라인을 제작·배포할 예정이다. 국가정보자원관리원의 정보자원기술기준 검증과 최대한 중복되지 않도록 항목 조정 등 관계기관과 논의키로 했다.

이날 이상무 KISA 보안성능인증팀장은 “성능평가 활성화를 위해 여러 지원책을 내놓을 것이며, 정보보호기업의 자생력을 강화할 수 있는 방안을 강구할 것”이라며 “성능평가를 통해 국내 정보보호제품 기술 경쟁력을 높이고, 우수한 국내 제품의 시장 유통 확대를 기대한다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr