KTL-시스템보증, 평가 요원 부족으로 후속 평가제품 선뜻 선정 못해
평가 요원이 많지 않아 평가 제품을 무작정 선정해 놓을 경우 보안업체들이 오히려 KISA에서 받는 것보다 평가를 더 늦게 받을 수도 있다는 우려 때문이다. 현재 KISA는 13개 평가반을 운영하고 있는 반면, 한국산업기술시험원과 한국시스템보증은 각각 1개, 2개의 평가반을 운영 중이다.
현재 보안업체들은 KISA, 한국산업기술시험원, 한국시스템보증에 복수로 평가 신청을 해 중복 대기를 하고 있는 상황인 것으로 드러났다. 하지만 이중 평가 계약이 허용되지 않아 우선 계약을 체결한 평가기관에서 인증 절차를 밟게 되면 다른 평가기관의 대기 순열에서는 자연스레 빠지도록 돼 있다. 따라서 보안 업체들이 어느 기관에서든 신속히 평가받도록 하기 위해 민간 CC평가기관들은 선뜻 후속 평가 제품을 선정하지 않고 있는 것이다.
또한 공통평가기준(CC) 및 방법론(CEM)이 현재 2.3버전에서 내년 4월부터 3.1 버전으로 바뀌어 적용됨에 따라, 지금 당장 평가 계약을 체결하더라도 실제 평가가 내년으로 넘어갈 경우 보안업체들이 제출물을 다시 준비해야 하는 일이 발생할 수도 있어 무조건 평가 제품만 늘릴 수 없는 처지다. 내년부터 CC인증 평가를 받게 되는 보안제품의 제출물은 모두 3.1버전에 맞춰야 한다.
한국시스템보증 "평가 대기제품 없어", KTL "11월 이후 2차 평가제품 선정"
이러한 연유로 한국시스템보증은 최근 두 번째 평가 제품을 선정한 이후 세 번째 평가 제품을 잡지 않고 있으며, 한국산업기술시험원은 아직 두 번째 평가 제품조차도 선정하지 않고 있다. 한국산업기술시험원은 첫 번째 제품(윈스테크넷의 웹 방화벽)의 CC인증 평가가 완전히 끝나게 되는 11월 이후에 두 번째 평가 계약을 체결한다는 계획이다. 한국시스템보증은 최근 두 번째 국제CC인증 평가 제품으로 방화벽과 침입방지시스템(IPS) 통합 제품인 시큐아이닷컴의 엑쉴드 V1.0을 선정했다.
한국시스템보증 조대일 팀장은 "현재 평가 중인 첫번째 (레드게이트의 서버보안)제품 평가가 내년 초쯤 완료된다. 당장 평가계약을 체결하면 CC 2.3버전에 맞춘 제출물을 받게 되는데, 평가계약은 올해 체결하고 내년 평가에 들어가게 될 경우 업체들이 내년 초 변경되는 3.1버전에 따른 제출물 준비 기간이 필요하기 때문에 평가 대기제품을 잡지 않고 있다"고 말했다.
한국산업기술시험원은 두번째 평가 제품 선정에 앞서 현재 12곳의 업체에 번호표만 나눠준 것으로 알려졌다. 지난 5월부터 시작된 1차 제품의 평가를 11월에 완료하면, 현재 1개 평가 반을 3개까지 확대 운영할 수 있어 향후 평가반의 확대 여부에 따라 몇 개 업체와 평가 계약을 체결할 수 있을 지가 결정된다는 게 한국산업기술시험원의 설명이다.
한국산업기술시험원 이수연 팀장은 "현재 KISA에서 온 평가사(선임평가사) 1명과 수습평가사 7명이 있다. 수습평가사 자격을 가지고 공인 시험기관에서 4번의 평가 경력이 있으면 국정원에서 선임 평가사 자격을 부여하는데, 11월 첫 번째 CC인증 평가를 마치면 2명의 수습평가사가 선임평가사가 될 수 있다. 이렇게 되면 평가반을 3반까지 운영 가능해 2차 평가 계약을 몇 개 업체와 체결할지도 그때나 돼야 결정할 수 있을 것"이라고 전했다.
관련기사
김정은 기자
jekim@itdaily.kr