지난해 처음 시작된 서버보안 제품 공통평가기준(CC) 획득에 관련 기업들이 어려움을 호소하고 있다.
서버보안 제품이 CC 인증 대상에 포함되면서 관련 업체는 공공기관이나 금융권에 제품을 공급할 때 반드시 CC 인증을 받아야 한다.
문제는 서버보안은 방화벽이나 침입탐지시스템(IDS), 침입방지시스템(IPS)과 달리 제품별 버전뿐만 아니라 서버의 운용체계(OS)별로 인증을 획득해야 한다는 점이다. 다른 네트워크보안 제품과 비교해 2배 이상 인증을 많이 받아야 하는 셈이다. 즉 HP와 선·IBM·MS·리눅스 5개 OS마다 서로 다른 인증을 획득해야 하며 이들 OS가 업그레이드될 때마다 또다시 인증을 받아야 한다.
◇인증받는 데 허리 휜다=시큐브와 레드게이트·티에스온넷 등 서버보안 업체들은 지난 2월부터 한국정보보호진흥원(KISA)과 서버보안 제품의 CC 평가 계약을 하고 인증 획득 작업을 벌이고 있다.
레드게이트(대표 김기현 http://www.redgate.com)와 시큐브(대표 홍기융 http://www.secuve.com)는 2월 처음으로 서버보안 제품 인증을 시작한 후 현재까지 3개 제품에 대해 인증을 획득했다. 2월과 6월, 11월 1년여 동안 인증 획득에 집중했지만 여전히 2개 제품의 인증을 더 받아야 시장에서 원하는 제품을 모두 판매할 수 있다.
올 한 해 동안 인증 획득에 들인 돈만도 첫 평가에 2500만원과 재평가 때마다 1200만원씩 5000만원에 달하는 비용을 들었다. 기업들은 이들 서버 OS의 버전이 업그레이드될 때마다 끊임없이 평가 인증을 받아야 해 인증에만 1억원에 가까운 비용을 투자해야 한다.
김기현 레드게이트 사장은 “인증이 시작되면서 서버 보안 제품의 도입을 미뤄왔던 공공기관과 금융기관에서 솔루션을 도입하는 효과가 나타나고 있지만 서로 다른 OS 환경에 적합한 제품을 아직도 공급하지 못하는 상황”이라며 “CC 인증을 획득한 3개 외에도 나머지 OS의 인증을 획득하기 위해 전담 인력을 확충하는 등 역량을 집중하고 있다”고 말했다.
김진 시큐브 부장은 “신제품 연구 개발에 몰두해야 할 인력들이 올 한 해 모두 CC 인증 획득에 매달렸다”며 “서버보안 분야 CC 인증을 모두 획득하려면 허리가 휠 지경”이라고 말했다.
◇대안은 없나=관련 업체들은 외국에서처럼 OS별로 한꺼번에 평가 인증을 받을 수 있는 체제를 마련해 달라고 입을 모으고 있다.
예를 들어, 외국은 선의 서버 OS인 솔라리스의 경우 7, 8, 9, 10 버전을 모두 함께 평가하고 인증해 시간을 단축하고 있다. 우리나라는 이와 달리 4개 버전에 대해 각각 하나씩 평가 인증을 받고 있다. 이에 대해 평가기관인 한국정보보호진흥원은 관련 업체의 어려움을 파악, 한번 평가 인증을 받은 제품의 다음 버전 OS에 대해선 재평가를 통해 절차와 비용을 간소화하고 있다고 설명했다.
노병규 한국정보보호진흥원 보안성평가센터 단장은 “다른 네트워크 보안 제품과 달리 서버 보안 기업들의 CC 평가 인증 부담이 크다는 것은 이미 알고 있다”며 “내년에 우리나라가 국제공통평가기준상호인정협정(CCRA)에 가입하면 인증기관인 국정원과 함께 업체들의 부담을 최소화하는 제도를 정비할 것”이라고 말했다.
김인순기자@전자신문, insoon@
관련 통계자료 다운로드 서버 보안 평가 완료 제품