정보보호 제품에 대한 객관적인 성능평가 체계 마련이 시급하다.
한국정보보호진흥원 및 관련업계에 따르면 정보보호에 대한 인식이 확산되면서 정보보호 제품 수요가 늘고 있으나 객관적인 성능평가 체계가 정립돼 있지 않아 정보보호 제품을 구입하려는 기업과 소비자들이 제품선택에 어려움을 겪고 있다.
현재 대기업들은 자체적으로 정보보호 제품의 시스템 적합성 등을 테스트하기 위한 ‘벤치마크테스트(BMT)’를 통해 제품을 구입하고 있지만 중소기업이나 일반 소비자들은 경제적 여력과 기술력이 없어 정보보호 업체들이 작성한 스펙(규격)에만 의존하고 있는 실정이다.
더욱이 정보보호 제품에 대한 ‘성능’의 개념조차 정립되지 않아 수요자들은 성능과는 무관한 보안성 평가나 네트워크 처리속도 등 일부 항목에 대한 시험결과만을 기준으로 제품을 선택하고 있다.
이에 따라 최근 정보보호 전문가, 특히 정보보호 제품을 사용하는 전문가 사이에서는 객관적으로 성능을 평가할 체계가 마련돼야 한다는 목소리가 높아지고 있다.
◇성능평가 왜 필요한가=최근 BMT 없이 업체의 스펙만 보고 스팸메일방지 솔루션을 구입했다가 소프트웨어가 제대로 작동되지 않아 곤란을 겪었던 한 정부산하연구기관 전산담당 연구원은 “수많은 정보보호 제품에 대해 모두 벤치마크테스트를 거쳐 구입할 수는 없는 노릇”이라며 “제품의 성능을 객관적으로 테스트하고 관련 정보를 수요처에 제공해주는 체계가 갖춰져야 한다”고 말했다.
그동안 정보보호 제품에 대한 평가는 국가정보원이 주관하는 보안성 평가가 주를 이뤄왔다. 하지만 국정원의 보안성 평가와 성능평가는 개념이 다르다. 오히려 성능과 보안성은 반비례한다고 볼 수 있다. 따라서 보안성 평가와는 별도로 제품의 성능을 객관적으로 평가할 수 있는 시스템이 요구되고 있다.
정보보호 제품의 성능에 대한 개념정립은 물론 네트워크 속도를 포함해 표준적합성·상호운용성 등을 포괄하는 독자적인 성능평가 체계의 마련이 시급한 것으로 지적되고 있다.
임채호 한국과학기술원 교수는 “기업들이 정보보호 제품을 선택할 때는 여러가지 요소를 검토해 선택해야 하지만 보안성평가나 네트워크 속도 등의 결과만을 가지고 선택하다보니 실제 성능은 다르게 나오는 경우가 있다”며 “사용자들이 목적에 맞는 제품을 선택하기 위해서는 객관적인 성능평가가 필요하다”고 말했다.
◇개념정립부터=정보보호 제품에 대한 성능평가 체계를 확립하는 데 있어 가장 시급한 일은 성능에 대한 개념을 정립하는 것이다. 넓은 의미의 성능이라고 하면 표준에 맞는가를 검증하는 표준적합성 시험과 장비간 상호연동 여부를 검증하는 상호운용성시험, 그리고 네트워크상에서의 지연(latency)·스루풋(throughput) 측정 등 네트워크 퍼포먼스를 포함한다. 좁은 의미로는 네트워크 퍼포먼스만 해당된다.
이 세가지 분야를 모두 포괄하는 개념의 정보보호 제품 성능평가 체계는 국내에 아직 갖춰져 있지 않은 실정이다. 한국정보통신기술협회(TTA)가 시험인증서비스를 제공하고는 있지만 주로 방화벽과 가상사설망(VPN)에 대한 네트워크 퍼포먼스 위주로 진행하고 있다.
현재 한국정보보호진흥원은 네트워크 퍼포먼스뿐만 아니라 표준적합성과 상호운용성이 중요하다고 보고 표준적합성 시험방법론과 상호운용성 시험방법론을 개발하고 있다.
◇정보보호 제품에 특화된 측정툴 개발 필요=정보보호 제품의 성능 가운데 네트워크 퍼포먼스를 측정하는 도구는 몇가지 있다. 응용분석시험기인 채리엇(Chariot)을 비롯해 트래픽시험기인 스마트비트(SmartBits) 등이 있으며 표준적합성 및 상호운용성을 시험하기 위한 ANVL 등이 많이 이용된다. 하지만 이 제품들은 모두 외국 장비이며 대당 가격이 억대를 넘어서는 것이어서 중소기업은 자체적으로 이런 장비들을 보유하기가 어렵다. 한국정보보호진흥원내에 설치된 정보보호산업지원센터나 TTA 등이 이러한 장비를 보유하고 있어 업체들은 이를 이용할 수 있지만 장기적인 관점에서는 정보보호 제품에 특화된 성능측정 툴이 필요하다.
◇성능평가는 어디서 하나=성능평가에 대한 논의에서 빼놓을 수 없는 부분은 바로 평가기관이다. 국내에서는 현재 TTA가 방화벽과 VPN에 대해 시험인증서비스를 제공하고 있으나 외국의 경우는 마이어컴(Miercom)이나 톨리(Tolly)·익사(ICSA)·NSTL 같은 민간 기관이 맡고 있다.
국내에는 이같은 평가인증 기관이 없어 정보보호 업체들은 주로 ICSA 등에 의뢰해 평가받고 인증을 획득하고 있다. 따라서 앞으로 정보보호 업체들의 국제경쟁력을 높이기 위해서는 국내에도 국제적 수준의 성능평가 전담 기관이 필요할 것으로 보인다.
한편 정보통신부 관계자는 “정보보호 제품에 대한 성능평가에 정부가 개입해서는 안되며 민간 차원에서 추진돼야 할 것”이라고 밝혀 성능평가에 대해서는 민간에 맡긴다는 입장이다.
<박영하기자 yhpark@etnews.co.kr>