- 정보통신보호시스템의 평가가 시급하다 (김철 광운대 교수)
정보통신보호정책의 많은 영역들 중에서 무엇보다고 시급한 것은 정보보호시스템의 평가와 그 인증에 관한 것이다.
이는 관련 정보통신보호산업과 밀접한 관계를 맺고 있으며 따라서 전반적인 정보통신시장 및 관련 제품의 수출입에도 지대한 영향을 미치기 때문이다.
외국에서는 1983년 미국의 TCSEC라는 평가기준을 필두로 유럽의 ITSEC, 최근의 CC(Common Criteria)에 이르기까지 축적된 평가기준을 가지고 많은 정보통신보호시스템과 제품들을 인증하여 오고있다.
또한 그와같은 인증들을 상호인정하는 협약까지 체결하는 등 정보통신시장에 대한 방어 혹은 진출의 수단으로 이를 적절히 사용하고 있다.
독일의 예를 보면 지난 5년동안 독일정보보호센터(BSI)에서 다양한 정보통신보호 제품들에 대하여 인증을 해왔다.
메인프레임급으로는 지멘스의 BS2000-SG 버전 10.0을 Q3·F2(ITSEC 기준으로는 E3, FC2)로 인증하였는데 지멘스는 이 BS2000을 개발하는 데 2천만마르크를 들였지만 이 시스템의 보안평가에는 4백6십만마르크를 들인 것으로 알려져 평가에 들이는 투자의 규모를 짐작케 하고 있다.
또한 중간급으로는 탠덤의 가디안 90 v c20, 지멘스의 시닉스 v 5.42/ 오디트 v 1.0이 있는데 유닉스용 운용체계(OS)인 이 시닉스의 인증은 1년에 걸쳐 진행되었다.
이외에도 PC보안을 위한 시규리티셀 제품 6건, 바이러스 스캐너 등 3건,기타 하드웨어·소프트웨어·노트북PC 등 3건이 인증돼 있다.
방화벽 등 데이터통신용 보안제품에 대한 인증은 1건이 인증되었고 4건이진행중이며 스마트카드 OS 등의 인증은 3건이 완결되었고 4건이 인증이 진행중이며 각종 칩카드 판독기의 인증이 약 30건이 발부되었고 4건이 진행중이다.
이들 판독기는 모두 E2/베이직의 인증을 받고 있다.
아울러 BSI는 독일내의 인증 뿐 아니라 EC 권역내의 정보보호 제품인증에대한 것에도 관심을 가지고 중복인증을 피하기 위해 ITSEC에 기초한 인증의상호인정을 도모하고 있다.
독일은 영국의 인증기관(United Kingdom Information Technology SecurityEvaluation aldn Certification Scheme)에서 인증한 제품들에 대하여서도 인증을 인정하고 있는 바 현재 인포믹스, 오라클 등의 데이터베이스 제품의인증 4건, 선솔라리스 등의 OS 11건, PC 접근제어 제품 3건 등이 상호인정되고있다.
이러한 평가기준 설정과 인증에는 수학적으로 잘 증명된 암호학적인 이론의 뒷받침이 절대 필요할 뿐더러 국제표준의 동향도 파악하여야 하며 평가주체, 절차, 대상 등과 인증서교부에 관련된 제도적인 근거 마련 등 많은 선결과제들이 있다.
우리나라고 한국정보보호센터에서 최근 많이 사용되고 있는 방화벽 제품들에 대하여 평가기준 등을 수립할 예정이라 하니 고무적인 일이 아닐 수 없다.