정보보호 제품에 대한 국제통용평가기준(CC:Common Criteria) 시행과 관련해 정보보호 업체들의 관심이 집중되고 있다.
정보통신부가 CC기반 평가를 오는 7월부터 실시하겠다고 했지만 구체적인 절차와 평가대상품목 등이 명확히 알려지지 않아 업체들의 궁금증이 증폭되고 있는 것이다.
CC기반 평가제가 정통부의 방침대로 7월부터 시행되려면 보호프로파일(PP:Protection Profile)과 평가제출물 작성지침 등이 모두 마련돼야 하고 국가정보원과의 협의도 거쳐야 하는데 아직까지 보호프로파일 개발이 덜됐고 국정원과의 협의도 끝나지 않은 탓이다. CC에 대한 영문번역 작업도 다음달까지 해결해야 할 과제다.
정통부 관계자는 “오는 7월부터 시행한다는 것이 기본방침이지만 번역문제와 평가절차에 관해 국정원과 협의를 진행하고 있다”며 “조율은 잘 되고 있지만 구체적인 시행시기는 좀 더 지켜봐야 할 것 같다”고 말했다.
평가대상 품목도 아직 최종 확정이 안된 상태다. 지난 3월 한국정보보호진흥원은 CC평가 대상 품목과 관련, “가상사설망(VPN)부터 적용하고 점진적으로 방화벽과 침입탐지시스템(IDS)으로 확대 적용해 나가겠다”고 밝혔지만 정통부는 최근 VPN은 물론 방화벽·IDS 모두 CC를 적용키로 방침을 바꾸었다.
정통부 관계자는 이와 관련, “다음달 중순경 공청회를 열고 나면 모든 것이 확정될 것”이라고 말하고 “예전의 방화벽이나 IDS의 예에서 그랬듯이 업체들의 준비기간을 감안하면 정식 평가계약을 맺기까지는 약 6개월 정도 소요되므로 다소 여유는 있다”고 말했다.
한편 실제 평가를 담당하는 한국정보보호진흥원(KISA)은 7월 시행에 맞추기 위해 동분서주 하고 있다. 지난달 CC평가 전담팀을 구성, CC기반 평가를 준비중인 KISA는 지난 3월 정보보호 업체들을 대상으로 1차교육을 실시한데 이어 이달 들어 2차교육을 실시했으며, 7월에도 2차례 더 교육을 실시할 예정이다. 또 보호프로파일 개발과 평가제출물 작성지침도 늦어도 다음달 초까지 내놓을 계획이다.
이와 함께 CC기반 평가제의 시행착오를 줄이기 위해 국내 업체들의 VPN을 대상으로 모의평가를 시행하고 있으며 지난해 말부터 호주의 평가기관인 어드미럴과 추진하고 있는 CC기반 공동평가 작업도 다음달부터 본격적으로 착수할 예정이다.
<박영하기자 yhpark@etnews.co.kr>