선마이크로시스템스의 운용체계(OS)인 솔라리스 기반의 침입탐지시스템(IDS) 개발 업체들이 OS 업그레이드에 따른 차기 제품개발과 추가 인증획득 문제로 골머리를 앓고 있다.
2일 관련업계에 따르면 지난해 K4 등급의 보안인증을 받은 IDS 개발업체중 솔라리스 OS환경에 맞도록 개발한 업체는 펜타시큐리티시스템, 시큐브, 데이타게이트인터내셔널, 윈스테크넷 등 4개 업체. 솔라리스 버전이 지난해부터 계속 업그레이드됨에 따라 이에 맞는 후속 제품을 개발하고 보안인증도 추가로 받아야할 상황이지만 IDS 제품의 보안등급 심사가 적체돼 곧바로 신제품을 개발한다고 해도 인증을 받기까지 최소 1년 이상은 소요될 전망이어서 관련 업체들은 진퇴양난의 어려움에 처했다.
△현황=지난해 K4 인증을 받은 솔라리스 기반 IDS 제품 중 펜타시큐리티시스템은 솔라리스 2.7버전 기반이며 윈스테크넷을 포함한 3개 업체의 제품은 솔라리스 2.8버전으로 인증을 획득했다. 선마이크로시스템스는 지난해초 솔라리스 2.8버전을 내놨으며 이를 다시 올상반기중에 2.9버전으로 업그레이드할 예정이다.
업계 전문가들은 현재 시장에서는 솔라리스 2.7버전이 주류를 이루고 있지만 조만간 2.8버전이 이를 대체할 것으로 보고 있다. 따라서 펜타시큐리티는는 K4 인증 IDS제품으로 당분간 판매가 가능하지만 신규 시장에 대응키 위해서는 2.8버전 이상에 맞춰 신제품 개발과 보안인증 추진이 시급한 상황이다. 그나마 솔라리스 2.8버전 IDS 제품으로 K4 인증을 받은 윈스테크넷등 3개 업체는 상황이 유리하지만 선마이크로시스템스가 최근 상반기내로 솔라리스 2.9버전을 출시한다는 의사를 내비침에 따라 신버전 제품 개발이 불가피하게 됐다.
△문제점=보안등급을 심사하는 국가정보원과 한국정보보호진흥원(KISA)은 OS의 버전이 다를 경우 보안제품도 완전히 다른 것으로 분류하고 있어 OS가 업그레이드될 경우 이에 맞춰 보안제품도 새롭게 개발하고 보안심사도 추가로 받아야 한다. 이 경우 문제가 되는 것은 시간. 새로운 솔라리스 버전에 맞춰 제품을 개발하는데 소요되는 시간과 이를 심사받는데 까지 기본적으로 6개월은 소요되는데다 현재 IDS 제품 심사가 8∼9건이 진행되고 있을 정도로 심하게 적체돼 있어 최소 1년 이상이 소요된다. 이에 따라 해당 업체들은 자칫 시장에는 진입도 못한 채 제품개발과 인증에만 매달리는 일이 벌어질 수도 있을 것으로 우려하고 있다.
△전망=IDS 업체들은 아직까지 뾰족한 대안을 마련하지 못하고 있다. 해당 업체 관계자들은 “이같은 문제는 등급심사가 늦어진 것이 직접적인 원인으로 보안인증이 지난해 초에만 나왔어도 관련 업체들이 OS 버전에 맞춰 신제품 개발이 가능했을 것”이라며 관련 기관의 융통성 있는 조처를 바라고 있다. 업체의 한 관계자는 “지금 심사가 진행중인 업체들도 연내에 인증이 가능할지 모르는 상황에서 새롭게 신제품을 개발하고 인증심사 신청을 하는 업체들은 아무리 서두른다고 하더라도 시장상황에 맞춰 판매하기는 어려울 것”이라고 말했다.
따라서 관련 업체들은 국정원과 KISA에 신제품을 개발해도 별도로 인증을 받지 않고 기존 인증제품에 대한 보안등급을 계속 인정해 줄 것을 요청했으나 양 기관으로부터 ‘원칙 고수’라는 답변만 받은 상태다. KISA측은 예외 규정을 둘 경우 기존 K등급을 받은 보안제품에 대한 형평성 문제가 있으며 또한 OS의 업그레이드는 일부 기능만 추가되는 것이 아니라 완전히 기반자체가 바뀌기 때문에 보안제품도 새로운 제품으로 보고 등급심사를 새롭게 받아야한다는 입장이다. 잦은 OS변화에 IDS업계와 KISA가 어떤 대안을 마련할지 주목된다.
<서동규기자 dkseo@etnews.co.kr>