◆대규모 국가 프로젝트의 기획과 수행을 담당하고 정보보호 전략의 종합적 비전을 제시해야 할 한국정보보호센터(KISA·원장 조휘갑 http://www.kisa.or.kr)가 설립된 지 4년이 지나도록 제구실을 하지 못하고 있다는 목소리가 높다. 최근 IDS 평가인증 사업이나 전자서명 인증관리센터(루트 CA) 역할 등 핵심사안에서 거듭되는 문제점을 노출, 업계의 불만을 사고 있다. 이에 따라 KISA를 「국가 전략적 차원의 정보보호」에 관한 정책 연구 및 과제를 수행하는 기관으로 자리잡게 하기 위해서는 근본적인 거듭나기가 필요하다는 지적이 설득력을 더해가고 있다. KISA의 문제점과 향후 대책 등을 3회에 걸쳐 짚어본다. 편집자◆
최근 인터넷 보안업계의 핫이슈는 어떤 업체가 침입탐지시스템(IDS) 「평가인증 1호」를 따내느냐다. 다시 말하면 어느 업체가 공공기관에 납품할 수 있는 기준인 「K4등급」을 먼저 받아내느냐에 관심이 쏠려 있다.
이유는 간단하다. 국가가 인정해주는 K4등급만 받으면 아직 누구도 건드리지 않은 공공시장은 물론 민간시장을 선점할 수 있기 때문이다. 그만큼 IDS업체들은 요즘 K4등급을 받기 위한 준비작업에 눈코 뜰 새 없이 바쁘다.
하지만 정작 이를 평가하는 주무기관인 KISA는 확고한 평가방침을 내놓지 못해 업계의 불만을 사고 있다.
당초 KISA는 지난달말이나 이달 중순까지는 업체들의 평가자문을 마무리하고 본격 심사에 들어가기로 했다. 그러나 소스코드 제출 문제, 평가인증 부여 부문 및 방식, 과도한 서류작업 등 지난 98년 침입차단시스템(방화벽) 평가인증 사업을 전개할 당시 불거져 나온 것과 똑같은 문제로 업계와 마찰을 빚고 있다.
특히 소스코드 제출 문제는 업체들의 강력한 반발을 사고 있다.
KISA측은 『법적근거에 의해 공공기관에 공급되는 제품의 기능을 검토하고 제품의 효과를 보증하는 의미에서 IDS 평가인증 제도를 시행, K4등급을 내주기 때문에 인증을 획득한 IDS업체 입장에서는 선전효과를 누릴 수 있고 공공기관은 정부가 보증하기 때문에 안심하고 IDS를 공급받을 수 있다』고 설명했다.
하지만 업계의 입장은 다르다. IDS 평가인증제도 도입으로 외산 제품이 선점하고 있는 국내 IDS시장에서 단기적으로는 국산 제품의 점유율을 높일 수 있지만 이같은 보호정책이 장기적으로 업계의 해외 경쟁력 향상에 도움이 될 것인가를 놓고 봤을 때 회의적인 입장을 보이고 있다. 더욱이 소스코드를 공개한다는 것은 몇 년간 공들여 개발한 기술을 한순간에 포기하는 것이나 마찬가지라고 주장하고 있다.
업계의 한 관계자는 『제출한 소스코드는 철저하게 관리를 하기 때문에 보안사항에 대해 불안해 할 필요가 없다고 하지만 방화벽 평가인증이 진행되던 당시 평가를 담당했던 사람들이 나와 곧바로 보안 관련 벤처기업을 창업한 예를 보면 믿고 소스코드를 제출할 수 없는 상황』이라고 말했다.
또한 KISA측은 해킹을 위한 백도어 유무를 확인하기 위해 소스코드 공개를 요구하고 있지만 IDS 개발자들 10명이 달려들어 확인하는데도 6개월∼1년이 소요되는 IDS 프로그램을 2, 3명의 담당자가 확인한다는 것은 불가능에 가까울 뿐 아니라 백도어는 언제든지 끼워넣을 수 있기 때문에 평가를 받을 때 이를 검사하는 것은 무의미한 일이라고 업계 전문가들은 입을 모은다.
한 IDS업체의 사장은 『만에 하나 제출한 업체들의 소스코드를 누군가 유출, 이를 변형시켜 해외시장에 판매할 경우 대책이 없다』며 우려를 나타냈다.
소스코드 공개와 함께 업체들이 지적하는 문제는 IDS 인증평가 순서다. 방화벽의 경우 초기에 여러 업체를 평가하지 않고 한 업체씩 진행했기 때문에 평가신청은 하루 차이라도 인증은 6개월 이상의 차이가 나 공정한 조건에서의 시장경쟁이 불가능했다는 지적이 나온 바 있다. 이 때문에 KISA측은 국가정보원 등과 복수의 제품 평가작업을 동시에 할 것인지 순서대로 할 것인지를 놓고 협의중이나 아직 묘책을 내놓지 못하는 실정이다.
업계의 불만은 여기서 그치지 않는다. 평가인증을 받기 위한 서류작업이 과도하다는 점이다. IDS 평가기준이 13개 항목에 이르는데다 항목당 준비해야 할 서류가 200∼300페이지나 되기 때문에 업체에 따라서는 IDS사업팀이 3개월째 서류작업에만 매달려 있을 정도다.
업계의 한 관계자는 『IDS 제품이 어느 정도 개발되면 다양한 테스트를 통해 완제품으로 완성해야 할 시간에 모두 서류작업에만 매달려 있다』면서 『서류작업이 끝나더라도 제품의 성능은 담보하지 못하는 상황을 초래할 수도 있을 것』이라고 지적했다.
<주문정기자 mjjoo@etnews.co.kr>