일부 정보보호 제품에 적용돼온 국제공통평가기준(CC) 기반의 평가가 생체인식 제품과 스마트카드 응용제품 분야로 확대 적용될 전망이다.
24일 관계당국에 따르면 정보통신부는 지난해 침입차단시스템(방화벽)·가상사설망(VPN)·침입탐지시스템(IDS) 등에 대해 CC기반의 평가를 시행키로 한데 이어 생체인식 제품 및 스마트카드 응용제품에 대해서도 CC기반의 평가를 실시하는 방안을 검토중이다.
정통부는 이를 위해 한국정보보호진흥원과 정보보호 업계·학계 관계자들로 구성된 ‘평가체계 연구위원회’를 중심으로 구체적인 대상품목과 적용 방법·시기 등에 관한 연구를 진행하고 있다.
정통부는 상반기내에 CC평가 대상에 추가로 포함시킬 정보보호 제품을 선정한 뒤 관련 법규의 개정 등 평가시행에 관련된 준비작업을 마무리할 예정이다. 이와함께 연말까지는 CC평가를 위한 보호프로파일(PP) 개발을 완료한 뒤 이르면 내년부터는 본격적으로 평가를 시행할 계획이다.
CC평가 대상에 새로 포함될 제품은 생체인식 제품과 스마트카드 응용제품, 네트워크 및 접근통제제품, 공개키기반구조(PKI) 인증솔루션 등이 거론되고 있으나 이 가운데 생체인식 및 스마트카드 응용제품이 포함될 가능성이 높은 것으로 알려지고 있다.
생체인식 제품의 경우 지문인식을 비롯해 얼굴인식·홍채인식·정맥인식 등의 부문에서 국내서만 41개 업체가 있고 기술경쟁력도 확보하고 있어 CC기반의 평가대상에 포함될 것으로 보인다. 특히 이 분야는 현재 CC에 의해 평가하는 국가가 캐나다와 호주밖에 없지만 미국 및 영국에서도 PP를 개발중이고, 영국을 중심으로 8개국이 생체인증 평가방법론(BEM) 워킹그룹에서 평가방법론을 연구중이어서 조만간 세계적으로 확대될 것으로 예상되고 있다.
스마트카드는 최근 들어 국내 금융권에서 보안사고를 막기 위해 스마트카드 응용제품 및 카드판독기의 설치를 늘리고 있어 CC기반의 평가가 요구되는 분야로 손꼽히고 있다. 하드웨어 칩은 평가기술을 확보하기가 어려운 점을 감안해 칩 운용시스템(COS)이나 카드판독기 등이 대상 제품으로 검토되고 있다.
하지만 네트워크 제품은 국산제품이 외국제품에 비해 기술경쟁력이 낮고, PKI인증솔루션은 이미 공인인증기관을 비롯한 각 기관에 설치돼 사용되고 있으므로 평가대상에서 제외될 가능성이 높은 것으로 보인다.
이로써 생체인식 및 스마트카드 제품군이 CC평가 대상에 포함되면 국내 정보보호 제품 평가는 방화벽·VPN·IDS 등에 이어 5종으로 늘어나게 된다.
<박영하기자 yhpark@etnews.co.kr>
<표> CC인증서 발행국(CAP)의 평가·인증 현황
구분 미국 영국 프랑스 독일 캐나다 호주
스위치/라우터 2 7 - - - 6
방화벽 2 24 4 2 2 13
방화벽/VPN 5 4 - - - 1
VPN 1 - - - - 4
IDS 5 - - - - -
IDS/IPS 1 - - - - -
통신장비 3 9 - 8 3 6
PKI 2 5 - 4 3 6
네트워크 관련 3 1 - - 1 3
네트워크 컴포넌트 11 - - - - 6
OS 42 14 - 5 - 9
DBMS 11 14 - - - 8
스마트카드 - 4 57 75 - 3
암호모듈 - 3 - - - 3
바이오메트릭 - - - - 1 1
관련 통계자료 다운로드 CC인증서 발행국(CAP)의 평가·인증 현황