국가·공공기관에서 도입하는 정보보호시스템 및 네트워크 장비에 대한 ‘국가용 보안요구사항’ 개정판이 지난 4월 2일 국가정보원 홈페이지에 공개됐다.
이번 개정판 공개를 통해 보안기업들의 정보보호 제품개발시 어려움들이 상당부분 해소되고, 새로운 보안제품의 국가·공공기관 도입이 급물살을 탈 것으로 예상되고 있다.
국가정보원 홈페이지 사이버안보 보안적합성 검증 보안요구사항란에는 1, 2, 3편으로 나눠 총 9개 PDF파일이 올라와 있다. 보안제품을 도입하려는 국가·공공기관과 보안제품을 납품하려는 보안기업 모두 각 분야별로 알기 쉽게 정리된 파일들이다.
‘국가용 보안요구사항’이란 국가·공공기관에 도입되는 보안기능이 있는 정보통신기기가 기본적으로 구현해야 하는 보안기능의 종류, 구현방식, 강도 등을 서술한 문서다. 이는 ‘보안기능시험’ 제도와 ‘국내용 CC인증’ 제도의 시험기준이며 ‘국가용 보호프로파일’의 기술적 기준으로 활용된다.
‘국가용 보안요구사항’ 구성은 모든 검증 대상 제품에 공통으로 적용되는 △’공통보안요구사항’과 제품별로 적용하는 △’제품보안요구사항’으로 구분된다.
공통보안요구사항은 서버와 엔드포인트 등 2종이며, 제품보안요구사항은 △구간보안 제품군 △침입차단 제품군 △보안관리 제품군 △전송자료보안 제품군 △가상화 제품군 △침입방지 제품군 △엔드포인트 보안 제품군 등 24종 그리고 △네트워크 장비 3종 등에 대한 각 분야 제품별 보안요구사항이 적시돼 있다.
침입차단 제품군은 △침입차단시스템, △웹방화벽, △DDoS 대응장비, △인터넷전화 보안제품 등이 포함돼 있다.
침입방지 제품군은 △침입방지시스템 △무선 침입방지시스템 등이다.
구간보안 제품군은 △가상사설망 △네트워크 접근통제 △망간 자료전송 △무선랜 인증 등이다.
전송자료보안 제품군은 △스팸메일차단시스템 △소프트웨어 기반 보안USB △호스트 자료유출방지 △네트워크 자료유출방지 등이다.
보안관리 제품군은 △통합보안관리 △소스코드 보안약점 분석도구 △패치관리시스템 △DB접근통제 △시스템접근관리 △패스워드관리 등이다.
가상화 제품군은 △가상화관리 제품이며, 엔드포인트보안 제품군은 △안티바이러스 △스마트폰 보안관리 △운영체제(서버) 접근통제 등이다.
네트워크 장비는 △스위치·라우터 △SDN 컨트롤러 △SDN 스위치 등이 포함돼 있다.
보안제품 개발기업 및 관련 전문가 누구나 국가용 보안요구사항에 대한 문의사항이 있을 경우 아래 시험·평가기관을 통해 별도 서식 없이 자유롭게 문의하면 답변을 받을 수 있다. 보안기업 입장에서 보면, 국가·공공기관 제품 개발시 큰 도움이 될 것으로 기대된다.
◈국가용 보안요구사항 개정판이 공개된 이유
이전에는 국가·공공기관에 납품을 계획하는 보안기업은 무엇을 준수해야 하는지 미리 알아야 제품개발에 반영할 수 있었다. 하지만 보안요구사항을 시험기관에 신청해야 열람할 수 있다 보니 얻을 수 있는 기회도 적었을 뿐만 아니라 그런 절차가 있다는 사실조차 모르는 기업도 많았다.
특히 CC인증 경험이 부족했던 보안기업은 국가용 보안요구사항의 내용을 모르는 상태로 제품을 개발한 후에 CC인증 신청단계에서야 자세한 내용을 알고 제품을 수정하는 경우가 비일비재했다. 그에 따른 보안기업들의 불만도 상당했다.
또 지금까지 국가용 보안요구사항은 국내용 CC인증과 보안기능 확인서의 기준임에도 불구하고 보안기업이 직접 시험기관에 요청해야 열람이 가능하도록 제한되어 있었다.
그 부작용으로, 출처가 불명확한 엑셀파일 형태로 보안요구사항이 보안기업들에게 전달돼 왔었고 해당 파일이 정확한 국정원 버전인지 아니면 시험기관에서 수정된 내용인지 알 수가 없는 상태로 이곳 저곳 전달되고 있었던 것도 사실이다. 이는 북한을 비롯한 사이버공격자들의 공급망 공격에 악용될 수 있는 사례가 될 수 있어 우려스러운 상황이었다.
이에 국정원은 이와 같은 위험한 상황을 해소하기 위해, 원 홈페이지에 내용을 공개하고 배포형태와 해시값까지 투명하게 공개한 것으로 파악된다. 국정원이 이번 개정판 공개에 다양한 고민을 한 흔적으로 보여진다.
국정원의 이와같은 공개형식은 악의적인 공격에 악용될 수 있는 소지를 최대한 줄이겠다는 의도일 것이다. 국가기관의 자료를 악용한 첨부파일 공격이 빈번히 이루어 지고 있는 현시점에서, 외부에 자료 발표시 이 같은 해시값 공개와 같은 보안조치는 다른 국가기관도 본받을만한 점이다.
◈국가용 보안요구사항 개정판 특이점 두 가지
한편 이번 개정판의 주요 특이점은 크게 두 가지로 볼 수 있다. 바로 국가·공공기관에 △융합된 신기술 적용 보안제품 도입 활성화와 △FIDO 기기를 활용한 2차 인증수단의 확산이 기대된다는 점이다.
우선 국가용 보안요구사항이 제정되어 국내용 CC인증을 받을 수 있는 22종 제품 이외, 다른 유형의 제품은 국내용 CC인증을 받기가 쉽지 않았다.
물론, ST방식으로 국제CC인증을 받을 수 있다지만 이론적인 주장일 뿐, 중소-벤처가 대부분인 국내 보안업계가 시도하기에는 시간과 비용이 너무 많이 들어 만만치 않은 것이 현실이다.
최근 보안기술의 변화속도를 감안할 때 22종의 장벽을 허물어야 한다는 주장은 업계에서 꾸준히 제기되어 왔다.
이에 개정된 국가용 보안요구사항에서 제시된 일반보안요구사항과 복합적용을 활용함으로써 신종제품을 포함해 AI 등 다양한 IT기술이 융합된 보안제품의 출현이 가속화 될 것으로 전망된다. 이는 국가기관 도입 보안제품의 다양성 확보로 이어져 정부 전산망 보안이 더욱 높아질 것으로 기대되고 있다.
또 하나, 아이핀이나 공공 웹사이트에서 회원가입시 12자리 이상의 비밀번호를 만들기 위해 힘든 시간을 보낸 기억은 누구나 있을 것이다.
하지만 많은 보안전문가들이 비밀번호의 보안성이 단순히 긴 자릿수나 구성의 복잡성으로 담보되지 않는다는 사실을 지적해왔다.
이번 개정판에서는 비밀번호 생성기준을 과감하게 개선했다. ①ID/패스워드 입력만으로 수행되는 인증과 ②FIDO 기기를 활용한 2단계 인증이 수행될 경우로 비밀번호 생성기준을 이원화한 것이다.
FIDO 표준을 준수한 2단계 인증시에는 비밀번호 생성기준을 완화함으로써, 지나치게 복잡한 비밀번호 생성기준 때문에 비밀번호를 메모하거나 비밀번호를 잊어버려 다시 인증을 해야 하는 등 역설적으로 보안성이 낮아지는 부작용을 해소하고 국가공공기관의 FIDO 활용 2단계 인증을 확산시켜 보안 강화를 유도하는 효과가 있을 것으로 기대하고 있다.
◈민·관이 함께 개정에 참여…제도의 투명성 한층 강화
한편 이번에 적용된 일반보안요구사항과 복합적용의 개념은 기존 국가용 보안요구사항과 보안적합성 검증체계의 경직성을 스스로 허물고 투명성, 개방성을 확보하는 신호탄 작용을 할 것으로 예상한다.
또 개정판에 따라 신종 보안제품의 국가·공공기관 도입이 급물살을 탈 전망이다. 보안업계도 AI, 양자암호 등 신기술을 적용한 보안제품 개발에 탄력을 받을 것으로 기대된다.
이번 개정은 기존 국가용 보안요구사항에 최신 보안기술을 반영해 기술 수준을 높이고 민·관이 함께 개정에 참여함으로써 제도의 투명성을 한층 더 강화했다는 점에서 의미가 크다.
특히 원의 이러한 방향성은 국가ㆍ공공기관의 사이버보안은 오로지 원 만이 해야 하는 것이 아니라, 원-국가기관-민간기업이 협력하면서 자기 역할을 해야 한다는 점에서 긍정적인 변화가 기대된다.
■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021 온라인 개최
-2021년 4월 28일~29일 온라인
-2일 참가시 14시간 보안교육 이수
-공공·금융·기업 보안실무자 1,000명 이상 참석
-최신 국내·외 보안솔루션 사이버 전시 참관
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★