펜타시큐리티의 이번 IDS분야 K4인증 평가 신청접수는 올해 본격 형성될 IDS시장에 일대 파장을 불러올 전망이다. 평가 신청 접수는 곧 평가계약을 의미하고 평가계약을 체결한 업체는 통상 중대한 결격사유가 없는 한 K4인증을 가장 먼저 받게 돼 공공시장은 물론 민수시장을 선점할 수 있는 유리한 고지에 올라서게 되기 때문이다.
△정보보호시스템 평가인증 제도란.
정보보호시스템 평가인증 제도는 공공기관에 공급하는 제품의 기능과 효과를 검토하고 보증한다는 의미에서 만들어진 것으로 공공이나 민간분야에 제품의 보안등급을 객관적으로 제시할 수 있는 환경을 제공한다. 따라서 K4인증을 획득한 IDS업체 입장에서는 충분한 선전효과를 누리게 되고 공공기관 입장에서도 정부가 보증하는 제품을 안심하고 공급받을 수 있게 된다.
△정보보호시스템 평가 절차는.
정보보호시스템 평가는 정보화촉진기본법 제15조 및 동법 시행령 제16조 규정에 근거해 정보통신부에서 해당 정보보호시스템의 평가기준을 고시하게 되면 실제 평가는 정통부 산하의 KISA가 담당한다. 평가기준 고시와 함께 관련 업체들은 평가를 받기 위한 자문신청을 하고 3∼5개월 가량의 자문기간을 통해 개발문서 등 기초자료 작성을 완료한다. 자문작업을 완료한 업체는 실질평가 신청과 함께 계약을 하게 되며 6∼7개월의 평가기간을 통해 정보보호시스템 평가등급을 받게 된다.
△왜 K4인증인가.
정보보호시스템 평가등급은 최저 평가등급인 K1에서부터 최고등급인 K7까지 7단계로 나뉜다. 그런데 정보보안업계가 유독 K4인증 획득에 집착하는 이유는 K4등급 이상을 받아야 하기 때문이다. 특히 98년 11월 침입차단시스템(방화벽) 분야에서 처음 K4인증을 획득한 시큐어소프트의 경우 순식간에 공공시장을 장악했고 외산 제품이 독주하던 민수시장에서도 빠른 속도로 외산 제품을 대체해 나가는 선례를 남겼다.
△업계에 미치는 파장.
IDS시장은 지난해 도입기를 거쳐 올해 1000억∼3000억원 규모로 예상되는 등 최대 호황기를 맞을 것으로 전망된다. 따라서 이번 평가계약이 K4인증 획득까지 순조롭게 진행될 경우 공공시장은 물론 민수시장을 순식간에 장악할 수 있게 된다. 이 때문에 업계에서는 『K4인증이 국내 정보보안 시장에서 차지하는 위상과 권위는 절대적』이라고 입을 모은다.
△계약에서 인증까지의 문제점은 없나
계약 체결 후 펜타시큐리티가 제출한 개발문서와 제품 소스코드 등을 분석하고 보완하는 과정에서 중대한 결격사유가 없을 경우 오는 7월초 IDS부문 1호 K4인증이 발급될 것으로 보인다. KISA의 한 관계자는 『평가계약 1호가 반드시 K4인증 1호로 연결되라는 법은 없다』며 『누가 먼저 계약을 체결하느냐에 초점을 두기보다는 정확한 개발문서와 충분한 시험을 거친 안전성있고 신뢰할 수 있는 제품을 만드는 데 주력하는 개발자의 초심으로 돌아가야 할 것』이라고 지적했다.
<주문정기자 mjjoo@etnews.co.kr>