정보보호제품 성능평가 시대가 열린다. 객관적 지표로 가격보다 성능과 품질 중심 시장을 형성한다. 국내 정보보호 산업 기술력 향상과 우수 제품 개발이 기대된다.
정부는 시범으로 진행해 온 ‘정보보호제품 성능평가 제도’를 새해 본격 시행한다. 민간 성능평가기관을 지정하고 한국인터넷진흥원(KISA·원장 백기승)에서 개발한 평가 방법론과 기술 등을 이전한다. 성능평가 기준과 결과를 심의하는 기술심의위원회를 꾸린다.
23일 시행되는 정보보호산업진흥법에 관련 법적근거(17조 성능평가 지원)가 명문화된다. 제도 추진에 가속도가 붙었다. 1월까지 구체적 운영방안을 담은 지침을 고시한다.
국내 정보보호제품은 국제공통기준(CC) 평가 위주로 보안 기능 인증에 집중했다. 표준화된 성능 검증기반이 없는 탓이다. 공공사업은 CC인증과 가격 경쟁에 좌우됐다. 우수 제품이 불이익 받는 사례가 늘었다. 글로벌 경쟁력 저하로 이어졌다.
KISA 관계자는 “CC인증이 기능 정확성을 비교하는 자동차 기능시험이라면 성능평가는 운영 시 처리능력을 평가하는 주행시험과 비슷하다”며 “정보보호제품 성능 개선을 위해 시스템·트래픽 처리, 효율성, 유해트래픽 탐지·차단율, 우회 등 다양한 기능 성능을 측정할 것”이라고 말했다.
KISA는 올해 웹방화벽과 침입방지시스템(IPS), 방화벽 차세대방화벽 등 정보보호제품 4종을 시험평가했다. 1차 성능평가를 마치고 2차 시험을 진행 중이다. 1차 결과를 바탕으로 개발업체에 수정사항을 제공했다. 기술력과 제품 성능 향상을 위해서다. 이달 중 4종 12건을 모두 완료한다.
지능형지속위협(APT) 대응과 가상사설망(VPN) 등 두 종류 제품군 성능평가 방법론도 추가 개발했다. KISA는 새해 1년간 서비스한다. 이듬해 민간 성능평가기관에 평가 방법론을 이전한다. 향후 분산서비스거부(DDoS) 대응 제품 등 성능평가 방법론도 개발한다.
정보보호제품 성능평가 커리큘럼·교재 개발과 성능평가 수수료 체계를 마련한다. NSS랩 등 국내외 성능시험기관과 협력한다.
정부는 성능시험 확산이 정보보호제품 품질 향상과 업계 매출 확대에 도움을 줄 것으로 기대했다. 지난 2014년 시범검증에선 1차 시험으로 피드백 받은 제품은 2차 평가에서 개선된 성능을 기록했다. 네트워크 보안 제품은 일부 성능이 기존 대비 199% 개선됐다. CVE 기반 웹공격패턴 차단율, OWASP기반 웹애플리케이션 공격 차단율도 향상됐다.
시범검증 참여 업체 대상 설문 결과 성능시험 결과서를 평균 10회 이상 활용했다. 평균 매출 증가효과는 30%에 달했다.
김민경 KISA 보안평가인증팀장은 “외산과 경쟁이나 국내 정보보호제품 표준 제고를 위한 성능 시험 필요성이 커졌다”며 “원만한 제도 운영을 위한 기반을 마련하는 데 노력할 것”이라고 말했다.
박정은기자 jepark@etnews.com
