국가정보원 CC검증 이해... 국가정보원 CC인증거친 중앙선관위 과천 청사 =사당동 중앙선거정보센타

[야생초(독일선거투표개표절차도우미)]

http://ttend.tistory.com/145

국정원, CC 받아도「보안 적합성 검증은 필수!」

조대성 iaskewer@korea.cnet.com 2006.01.16 / AM 01:55 

ㅣ 소셜댓글 : 0

국가기관을 대상으로 한 개정된 '국가정보보안기본지침'이 올해 1월부터 시행됐다. 변한 건 제도명뿐, 쟁점 사항은 예전 그대로다. CC 인증과 별개로 '보안 적합성 검증'은 필수라는 국정원의 입장이 재확인됐다는 얘기다. 당연히 소스 코드도 '제출'해야만 한다. 

국정원 관계자의 말대로, 열쇠는 업체들이 쥐고 있다. 국정원 방침에 응하지 않는다면, 외산 업체들은 지난해처럼 공공과 금융 등 절반의 시장을 고스란히 국산 업체들한테 내줘야만 한다. 이제 주사위는 던져졌다. 

지난해 초 발표된 '국가용 정보보호시스템 보안성 검토 지침' 개정안의 골자는 기존 'K 시리즈' 인증을 폐지한 대신, 'CC 인증'을 받은 후 국정원의 '보안성 검토 지침'을 반드시 받도록 한다는 것이었다. 

이와 더불어 당시 침입차단시스템(방화벽)과 침입탐지시스템(IDS), 가상사설망(VPN), 지문인식시스템, 운용체계보안시스템, 스마트카드 등 6개 제품군으로 제한됐던 정보보호시스템 평가·인증 검토 대상을 모든 보안 제품으로 확대한다는 것이었다.

이 개정안이 수개월간의 손질 끝에 마침내 확정돼 올해 1월 1일부터 공식 시행됐다. 국정원은 확정된 개정안을 국가기관에 보냈고, 이 가운데 보안성 검토 지침 항목만을 발췌해 국정원 'IT 보안인증 사무국' 홈페이지(www.kecs.go.kr)에 공개했다. 

개정안 '근거 지침과 제도명만 바뀌었다'
확정된 개정안은 한마디로 근거 지침과 제도명만 바뀌었을 뿐, 보안 업계 입장에서는 지난해 초 발표된 개정안과 실제로 달라진 건 거의 없다. 

변경된 근거 지침과 제도부터 살펴보자. 우선 명칭이 기존 '국가정보통신보안기본지침'에서 '국가정보보안기본지침'으로 바뀌었다. 특히 쟁점 사항인 각급 기관 도입을 위한 '상용정보보호시스템 보안성검토지침(이하 보안성검토지침)'이 폐지되고 '보안적합성검증' 제도로 이름이 바뀌면서 '국가정보보안기본지침'에 흡수됐다. 

여기서 확실히 해둘 것은 CC 평가·인증과 보안 적합성 검증은 별개의 제도라는 점이다. 

국정원 관계자는 "CC 평가 인증 제도는 민간에서 사용되는 정보보호시스템에 대한 보안 기능을 인증하는 것이고, 보안 적합성 검증은 국가 공공기관에서 사용하는 정보보호시스템에 대해 보안 기능을 검증하는 제도라는 점"이라고 밝혔다. 

CC 평가 인증의 근거법은 정보화촉진기본법이며, 이 법에 근거해 평가인증지침이 마련됐다. 이는 정통부 고시로, CC 인증의 근거 지침이 된다. 반면, 보안 적합성 검증의 근거 지침은 예전 '국가정보통신보안기본지침'에서 이번에 개정된 '국가정보보안기본지침'이 된다.

굳이 달라진 점을 찾자면 기존에 2가지로 나뉘어 있던 보안성 검토 항목이 통합됐다는 점이다. 기존 보안성 검토에는 망과 제품 보안성 검토가 구분돼 있었다. 

국정원 관계자는 "기관들은 보안성 검토가 두 가지라 공문도 더 많이 보내야 했고, 혼란스러웠던 점을 감안해 원스톱 서비스를 제공하고자 두 가지 지침을 통합, 한 번의 공문 작업으로 모든 검증을 마치도록 해 행정적 낭비 요소를 줄였다"고 밝혔다.

CC 인증 받았어도 '보안 적합성 검증' 받아라!
가장 쟁점이 되는 사항은, CC 인증을 받은 정보보호 제품을 국가기관에 납품할 경우 국정원의 보안 적합성 검증을 받아야만 하느냐다. 결론부터 말하면 '받아야만 하지만, 세부 조건을 살펴볼 필요가 있다'. 

이에 대한 논리로 국정원 관계자는 세 가지 근거를 대고 있다.

첫째, 보안 사고 시 책임성 부분이다. CC 인증은 기존 K4 제도와 달리, 신청인(보안 업체)이 평가 범위를 정하도록 돼 있다. 예컨대 제품의 10가지 기능 중 3가지만 평가를 받아도 CC 인증을 획득할 수 있게 된다. 

국정원 관계자는 "평가되지 않은 기능 중 국가기관에 적합하지 않은 암호 논리도 있을 수 있어서 보안 적합성 검증을 진행하는 것"이라며, "미평가된 기능에서 심각한 오류가 있다면, 과연 누가 책임질 것인가. 그런 부분에 대해서 국정원이 검증하겠다는 것"이라고 강조했다. 

둘째, 자국법이 우선한다는 논리다. 이에 대해 국정원 관계자는 "우리나라뿐 아니라 다른 나라도 각 나라에 맞는 도입 정책이 따로 있다. CCRA 정책과 국가 정책이 상충되면, 국가 정책이 우선이라고 CCRA 관련 규약에 규정돼 있다"고 분명히 했다. 

끝으로, CCRA 제도는 구매와 무관하다는 주장이다. CCRA 회원국은 CC 기준에 따른 제품 평가 결과를 상호 인정해주자는 회원국끼리의 약속일 뿐이라는 것이다.

이와 관련, 국정원 관계자는 "CCRA 정책 규정을 보면 CC 인증 제품에 대해 누가 사용하는지에 대한 언급은 없다. 평가 결과를 신뢰해야 한다는 것은 권고 사항일 뿐, 인증을 받은 제품을 무조건 구매해야 한다는 강제성은 없다"고 못박았다. 

적용 대상 기관은 '국정원이 정하지 않는다'
다음 쟁점 사항은 세부 조건에 관한 부분이다. 

첫째, CC 인증을 받은 기능에 대한 보안 적합성 검증 여부다. 

이에 대해 국정원 관계자는 "국정원은 CC 인증에서 평가받지 않은 기능에 대해서만 보안 적합성을 검증하게 되므로 예전에 비해 검증을 받기가 쉬워졌다"고 설명했다. 

둘째, 보안 적합성 검증이 적용되는 대상 기관의 범위다. 보안 적합성 검증은 국방부나 국정원, 검찰청이나 경찰청, 행자부 핵심망에만 적용해도 충분할텐데, 굳이 규모가 작거나 보안 중요성이 낮은 지자체까지 적용하는 건 억지라는 게 외산 보안 업체 관계자들의 한결같은 불만이다. 

이에 대해 국정원 관계자는 "국정원이 적용 범위를 정하는 건 아니다. 우리는 기본 지침을 각급 기관에 배포했을 뿐이며, 이 지침을 토대로 각급 기관에서 세부 보안 가이드라인을 세우는 것"이라고 해명했다.

여기서 '각급 기관'이란 함은 헌법·정부조직법 기타 법령에 의해 설치된 국가기관(군기관 및 교육기관 포함)과 지방자치단체 및 공공단체를 말한다(국정원 '보안업무규정' 법령 참조). 따라서 예컨대 제2금융권들은 금감원장이 마련한 세부 지침에 따를 뿐이며, 국정원이 관여해 지침을 내리진 않는다는 얘기다. 

다만, 개정된 지침서에 따르면 한 기관이라도 여러 개의 망이 연동돼 있어 자료의 보안 중요도에 따라 망별 등급을 분류하고 있다. 

이에 대해 국정원 관계자는 "자료의 정보보안상 자산 가치를 판단해서 보안 적합성 검증 평가 여부를 결정하는 것으로, 이는 국정원이 판단할 몫"이라고 잘라 말했다. 그는 이어 "하지만 국가기관의 전산 보안 관리자가 자료의 자산 등급이 높다하더라도 본인이 이를 고집한다면, 그보다 낮은 CC 등급을 받은 제품을 그냥 사용할 수도 있다"고 설명했다. 

소스 코드 '제출'은 변함없다! 
셋째, 외산 업체들이 보안 적합성 검증을 꺼리는 실질적 이유인 '소스 코드'와 관련된 사항이다. 외산 업체들은 소스 코드 '공개'란 절대 허용할 수 없다는 주장이다. 

이에 대해 국정원 관계자는 "공개라는 표현보다는 '제출'이 맞다"면서 "소스 코드 제출 여부는 상황에 따라 달라진다. CC 인증을 받은 기능에 대해서는 소스 코드를 제출할 필요가 없다"고 말했다. 아울러 국정원은 보안 적합성 검증을 받는 방법에 대해 유연한 접근법을 제시했다.

국정원 관계자는 "업체들은 소스 코드 유출을 우려하고 있는데, 소스 코드를 CD에 담아 건네줄 때, 복사 방지 기능을 CD에 심어 주든지, 그래도 못 믿겠다면 보안 업체 담당자가 직접 보안 적합성 검증 작업에 참여해서 진행할 수도 있다"며, "열쇠는 보안 업체한테 달려 있다"고 강조했다. 

끝으로, CC 평가 인증 대상이 아닌 새로운 보안 제품에 대한 검증 문제다.

국정원 관계자는 "원래 CC 인증을 받은 제품만을 대상으로 보안 적합성 검증을 받는 게 원칙"이라며, "다만 현재 KISA의 평가 대상에 없는 보안 제품은 곧바로 국정원의 보안 적합성 검증만 받으면 된다"고 설명했다. 

국정원의 이 같은 방침은 일종의 '유예 기간'을 허락한 셈이다. 지침이 개정된 지 얼마 되지 않아 제품에 대한 평가 기준, 이른바 '보호 프로파일(PP)'이 나오지 않은 보안 제품들이 일부 있다. 따라서 CC 인증을 받지 못한 제품을 무작정 막아버리면, 오히려 행정 절차로 인해 국가 정보통신망의 보안을 지키지 못하는 일이 생기게 된다. 제한 속도 100km 구간이 끝나고 40km 구간이 시작하는 지점에 속도 위반 카메라를 세울 순 없다는 얘기다. 속도를 줄일 구간은 충분히 주겠다는 게 국정원의 뜻이다.

현재 CC 인증에서 다루지 못하는 있는 보안 제품으로는 암호화, 망 전환 장치, 보안 메일 등이 있다. 국정원은 이런 보안 제품에 대한 보호 프로파일을 작성중이다.

국정원의 관계자는 "개정된 지침은 국가기관의 정보보안 수준 제고에 목적이 있다"며, "외산 업체들은 물건만 팔 뿐, 현지 환경에 맞는 정책에 부응하려는 노력이 없어 아쉽다"고 토로했다. 

외산 업계 '혹시나 했는데, 역시나…'
한편, 확정된 개정안과 국정원의 적용 기조에 대해 외산 업체 관계자들은 반응은 '역시 그럴 줄 알았다'는 식이다.

한 외산 업체 관계자는 "CCRA 회원국에 가입해도 별로 달라질 게 없다고 본다. 국정원을 거치지 않은 제품은 국가기관에 팔 수 없다는 논리다. CC 평가 인증 제도와 보안 적합성 검토를 제도적으로 분리해 놨다"고 지적했다.

그는 이어 "특히 소스 코드 제출은 있을 수 없다. 보안 업체 담당자 참석 하에 검증 작업을 진행하더라도 한국 시장 규모는 전 세계의 일부로 극히 작은데, 어느 외산 업체의 개발자가 직접 참석하겠느냐"며 불만을 표시했다. @