한국정보보호센터(원장 이재우)는 최근 관심을 끌고 있는 정보통신망 침입차단시스템(파이어월) 평가기준(안)을 마련(본보 3월14일자 1면 참조)하고 일반에 상세 규정을 공개했다.
인터넷과 전자상거래(EC) 시대에 대비해서 마련된 이 평가기준안은 공인기관에서 제시한 기준안을 정부 기관과 민간업체 등에서 따르도록 함으로서 각종 정보보호시스템 구축을 효율적으로 추진할 수 있도록 하자는데 그 취지가 있다. 이에따라 이번 기준안에서는 정부단체나 기업에서 각 수준에 부합할 수 있는 정보보호시스텡을 구축하는데 실질적인 도움을 주자는 취지에서 항목별 평가결과에 따라 K-1에서 K-7까지 7단계로 등급을 분류해 놓고 있다. 이번 평가 기준안은 또 향후 2~3년 이후의 기술발전에 대비, K-5 이상의 상위등급에서 부터는 현재 시장에 나와 있는 일반 파이어월 제품에서는 기대하기 어려운 수준의 보안기능을 요구하고 있다.
1단계인 K-1등급은 최소 한도의 보안기능을 요구하는 시스템에서 활용하기 위한 보안 시스템으로 관리자 인증, 암호기능을 제공해야 한다고 규정하고 있으며 K-2등급은 인증데이터의 암호화, 감사기록 생성 등의 기능을 갖는 제품으로 인터넷, 인트라넷 등의 정보를 보호할 수 있는 수준이다.
K-3등급은 고도보안을 요구하는 분야에서 활용할 수 있는 수준으로 데이터 무결성을 주요 기능으로 규정하고 있다. 또 4단계인 K-4 등급은 정부 및 민간기업에서 사용목적에 따라 분류된 핵심정보를 보호하기 위한 등급으로 일회(one-time) 패스워드, 보안 레이블 무결성 등 사실상 현재 시장에 나와 있는 제품 가운데 가장 높은 기능을 요구하고 있다. 또 이 단계부터는 원시코드를 제출토록해 제품 구현과정에 대해서 까지 평가하도록 했다.
평가기준안에서는 이와 함께 디지털서명, 침입감지, 형상통합, 정형화기능명세 등을 K-5에서 K-7까지 등급에서 요구하고 있다. 이 정도 수준의 기능은 일반적인 파이어월의 기능을 넘어선 제품으로 사실상 시스템통합(SI) 영역까지 포함한 통합 정보보호시스템을 평가하기 위한 기준으로 분석되고 있다.
따라서 현재 기술수준을 감안할 때 국내외 파이어월 업체들이 신청할 수 있는 최고 인증등급은 K-4까지 이며 이 등급을 얻는 제품이 사실상 현재 수준에서 가장 좋은 제품이라는 평가를 받을 수 있을 것으로 기대된다.
하지만 현재 국내 기업들은 대부분 외국기업들이 보유한 원시코드를 수입하고 있는 실정임을 감안할 때 순수 국내 개발사를 제외하고는 K-3 등급이 현실적으로 파이어월업체들이 신청할 수 있는 최고 등급일 될 전망이다.
한편 한국정보보호센터는 이번에 마련한 평가기준안을 공청회와 정보보호분과위 심의 및 정통부 고시를 거쳐 올해 안에 본격 실시할 예정이다.
<함종렬 기자>