지금 정보보호센터에서는 국내 최초의 정보보호 제품에 대한 평가제도인 침입차단시스템(방화벽) 평가가 진행되고 있다.
우선 침입차단시스템 평가제도는 크게 3단계로 나뉜다. 첫 단계는 평가의 공정성을 위해 기본자료인 제출물을 표준화하는 과정이다.
여기서는 정보보호센터의 자문이 병행되며 표준화가 완료되면 평가접수가 가능하다.
두번째는 제출물의 준비상태가 평가를 받기에 충분한지 마지막으로 확인받고 계약을 체결하는 단계다. 평가계약이 체결되면 세번째 단계인 문서 및 제품에 대한 본격적인 평가에 들어간다.
이후 제품·문서의 미비점에 대한 모든 보완절차는 정보보호센터와 업체간의 공문으로 처리되고 과제해결에는 시한이 정해져 있다.
따라서 제출된 문서가 미비할 경우 해당업체는 세번째 단계에서 큰 어려움을 겪을 수 있다.
이를 최대한 방지하기 위해 업체로서는 자문단계와 계약전 확인단계에서 검토가능한 모든 문제점을 보완하는 것이 유리하다.
현재 평가제도의 문제점 가운데 하나는 방화벽의 보안성능 평가기준이 대체로 전통적인 방화벽의 기능에 초점이 맞춰져 있다는 점이다.
따라서 업체가 급변하는 고객의 요구에 맞춰 신기술 개발에 주력하기보다는 평가 자체에만 매몰될 가능성이 있다.
또다른 문제는 평가를 위한 요구사항이 명확하지 않은 점이 다수 존재하고 평가자료 작성기준이 모호해 해당업체의 문서작업에 애로가 있다는 점이다.
특히 정보보호센터의 평가자문팀이 자료누출 등의 이유로 인해 회합중에만 문서를 검토하게 되고 이에 따라 방대한 분량의 문서를 충분히 자문해줄 만한 시간적 여유가 없다는 것도 문제점 중의 하나다.
하지만 평가제도는 제품의 성능을 보완한다는 측면에서 성과적인 것은 분명하다.
우리 회사의 경우 평가를 준비하는 과정에서 설계서의 일부분을 고친 적이 있는데 이 부분이 핵심 모듈이어서 문제가 발생할 경우 심각한 결과를 초래할 수도 있는 것이다.
이와 함께 체계적인 문서화를 요구함으로써 해당업체들의 개발능력 향상에도 일익을 담당했다.
특히 문서 및 소스코드 형상관리의 경우 철저하게 지켜내기 힘든 사항이지만 업체들이 필요성을 인정하고 이를 시행하기로 원칙적인 합의를 이뤘다는 점은 큰 소득으로 여겨진다.
이같은 점을 감안, 정보보호업체들이 앞으로 정보보호센터의 평가 틀에 따라 신제품을 개발한다면 위험요소를 최소화하면서 개발기간도 단축시킬 것으로 기대된다.
방화벽 평가제도는 정보보호 제품에 대한 국내 최초의 공인제도이고 유일한 인증제도라는 점에서 큰 의의를 갖는다.
평가를 받는 과정이 비록 힘들지만 정보보호업체에 있어서는 기술력 향상을 위해 꼭 도전해봐야 할 프로젝트임에 틀림없다.
아직은 정보보호센터의 평가가 시작단계에 있으므로 각종 시행착오가 상존하지만 국제공통평가기준(CC)과도 상호호환을 추진하는 등 지속적인 발전을 거듭할 것으로 기대한다.
〈켁신시스템 전략기획실장〉