제조업체의 자체기준에 의해 제작, 혼선이 빚어지고 있는 DDoS 장비에 대한 공인 규격내지 인증 마련이 시급하다는 목소리가 높아지고 있다.
관련업계에 따르면 최근 들어 붐을 이루고 있는 DDoS 전용장비의 경우 제품과 관련된 명확한 규격 및 성능 평가 기준이 없어 장비구매에 나선 업체 및 기관들이 제품 구매에 어려움을 겪고 있다는 것이다.
특히 공공기관의 경우 DDoS 장비에 대한 공인 인증 규격이 없다보니 제품 발주 및 구매에 혼선을 빚는가 하면 입찰 과정에서 본의 아니게 오해를 사게 되는 경우가 비일비재하다는 것.
일부 공공기관은 일반 보안 제품에 적용하는 CC인증을 대체 활용하려 검토중이나 현재 시중에 출시된 DDoS 장비 중 CC인증을 획득한 업체도 전무한 실정이다.
사정이 이렇다 보니 DDoS 장비 업체들은 자사 제품이 DDoS 전용 제품의 표준이라고 너도나도 주장하고 있는 형편이다.
여기에다 글로벌 인지도와 지원력, 고객 사례를 보유한 일부 외산업체와 달리 갓 제품을 출시, 판매에 나선 국내업체의 경우 DDoS 전용 장비에 대한 공인인증, 규격 미비로 시장 경쟁에서 외산에 밀리는 경우도 많다는 것이다.
한 업체 관계자는 “공인 규격이 없다보니 구매 업체도 선뜻 장비 구입에 나서지 못하고 장비 업체들은 자사 제품이 경쟁사보다 품질이 우수하다는 점을 비교, 설명할 잣대조차 없어 애를 태우고 있는 실정”이라고 호소하면서 “DDoS 전용장비에 대한 공인인증은 국내업체에게는 발등의 불처럼 현안으로 대두됐다”고 강조했다.
한편 CC인증의 평가를 담당하는 KISA 평기기획팀 담당자는 “아직 DDoS 제품에 대해 CC인증을 신청한 업체도 없고 따라서 CC인증을 받기 위해 필요한 보호 프로파일도 마련되지 않았다”며 “현재 계약을 체결하면 평균 5개월 가량이 걸리는 수준”이라고 설명했다.
이 관계자는 “DDoS는 기존 IPS와 비슷한 기능일 것으로 보여 보호 프로파일 없이도 신청이 가능, 신청 및 처리 기간이 보다 단축될 수도 있다”며 “정확히 준비해오는 업체들에 한해 보다 빠른 처리를 제공할 예정이라 업체들의 의지와 준비가 중요할 것”이라는 의견을 밝혔다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr
※ CC인증이란
CC인증이란 국제공통평가기준으로 세계 여러 나라에서 개발, 생산되고 있는 정보보호 제품에 대한 평가기준을 국제적으로 표준화한 것이다. 국내의 경우 K 시리즈로 운영되던 평가기준을 2005년 1월부로 CC로 일원화해 평가 진행하고 있으며 한국정보보호진흥원(KISA)과 국정원에서 각각 인증과 평가를 담당한다.
CC인증을 받기 위해서는 신청업체가 KISA에 평가자문을 요청하고 인증받기 위한 제품의 제출물을 준비, 계약을 체결한다. 계약 체결 후 평가기관에서 평가수행계획서를 작성, 평가한 후 KISA에서 인증을 내려주고 국정원에서 보안성 평가를 실시하게 된다.