CC평가를 주관하는 KISA가 도입해 사용하고 있는 보안 제품 중 오히려 CC인증이나 보안 적합성 검증을 받지도 않은 제품들이 포함돼 있어 물의를 빚고 있다. 지난해 5월 우리나라의 CCRA 가입과 함께 정부는 방화벽, 침입탐지 및 차단(IDS/IPS), 가상사설망(VPN), 지문인식시스템, 운영체계 보안시스템, 스마트카드 6개 제품군으로 제한됐던 기존 평가 인증 대상을 전 보안 제품으로 확대했다. 때문에 정보보호 제품은 모두 국제공통평가기준 상호인정협정(CC:Common Criteria Recognition Arrangement)인증을 받도록 돼있고 이에 대한 평가는 한국정보보호진흥원(KISA)에서, 인증은 국가정보원에서 하도록 돼있다. 또한 CC인증을 받았다 하더라도 국정원에서 보안 적합성 검증을 거쳐야 공공기관 납품이 가능하도록 돼있다. 하지만 정작 CC평가를 주관하는 KISA에서 사용하고 있는 보안 제품 중 CC인증이나 보안 적합성 검증을 받지도 않은 제품들이 포함돼 있어 물의를 빚고 있다. KISA는 지난해 말경 A사에서 국산 내부보안 솔루션을 도입했다. 하지만 이 제품은 CC인증을 받은 제품도 보안 적합성 검증을 받은 제품도 아니다. KISA는 CC인증을 받지 않은 제품을 도입한 것에 대해 업체 관계자에게 "문제가 생길 수도 있으니 외부에 알리지 않는 것이 좋겠다"고 말하기도 했다. 한 보안업계 관계자는 "CC인증 평가를 맡고 있는 공공기관에서 CC를 받지 않은 제품을 도입하는 것은 매우 모순"이라고 전했다.@
CC인증 평가기관 KISA, 우리는 예외?
유윤정 기자
지금 뜨는 기사
이시각 헤드라인
ZDNet Power Center
