출처 : http://www.boannews.com/media/view.asp?idx=58192&page=3&kind=1
관련링크 : https://www.kisis.or.kr/kisis/subIndex/80.do
오는 2018년부터 정보보호제품 성능평가 제도가 본격 시행될 예정이다. 이 제도는 성능평가를 통해 국내 정보보호제품의 기술경쟁력을 강화하기 위한 자율 인증 제도로, 성능 평가제도 시행 및 평가인프라 확충, 성능평가 이용 활성화, 정보보호기업의 자생력 강화를 정책방향으로 삼고 있다.
▲22일 엘타워에서 진행된 정보보호제품 성능평가 제도 소개 화면[이미지=보안뉴스]
정보보호제품 성능평가는 운영환경에서 정상기능을 구현하는지와 사이버 공격에 적절히 대응하는지 등 과학기술정보통신부에서 정한 성능평가 항목에 따라 측정한다.
정보보호제품 성능평가는 2018년 △방화벽 △안티바이러스 △샌드박스 기반 APT대응장비 △디도스 대응장비 등 정보보호제품 4개 제품만 우선 적용된다.
2019년에는 △웹방화벽 △차세대방화벽 △침입방지시스템 △소스코드 보안약점 분석도구 4개 제품을, 2020년에는 △IPSec 기반 가상사설망 △SSL/TLS 기반 가상 사설망 △네트워크 정보유출방지시스템(DLP) 3개 제품을, 2021년에는 △단말 DLP △무선 침입방지 시스템(WIPS) △DB보안(접근통제) 등으로 확대해 총 14종 제품으로 점차 확대할 전망이다.
방화벽 제품군의 주요 성능평가 항목은 △정보보호 주요 기능 구현으로 감사 기록 생성 및 정상 동작, 실시간 모니터링 및 통계 보고서 기능의 정상 동작, 정책 설정가능 및 설정된 정책의 정상 동작 △보안 성능으로 정보흐름 통제 규칙 위반 트래픽 차단, DoS 공격트래픽 차단 △네트워크 성능으로 최대 동시 세션연결수, 초당 최대 세션연결수, 초당 최대 트랜잭션수, UDP 처리율 및 지연시간, HTTP처리율 △자원의 효율성으로 CPU, 메모리 등 자원의 처리 및 이용수준 등이다.
DDoS 대응장비의 주요 성능평가 항목은 △정보보호 주요기능 구현 통한 국가용 보안규격(감사기록, 식별 및 인증, 보안관리, 전송데이터 보호, 안전한 세션 관리 등) 적절성 여부이며, △보안성능과 네트워크 성능은 방화벽 성능평가 주요 항목과 동일하다.
안티 바이러스의 주요 성능평가 항목은 △정보보호 주요 기능 구현 통한 국가용 보안규격 적절성 여부 △보안 성능으로 악성파일 탐지 및 제거, 악성파일 우회탐지 △시스템 성능으로 시스템 검사시 소요시간, 자주 사용되는 작업수행시 소요시간 △자원의 효율성으로 CPU, 메모리 등 자원의 처리 및 이용수준이다.
샌드박스 기반 APT 대응장비의 주요 성능평가 항목은 △정보보호 주요 기능 구현으로 감사 기록 생성 및 검색 기능의 정상 동작, 실시간 모니터링 및 통계 보고서 기능의 정상 동작, 정책 설정가능 및 설정된 정책의 정상 동작 △보안성능으로 알려진 악성파일 탐지, 알려진 악성파일에 대한 동적 분석 탐지, 알려진 악성파일 우회 탐지 등이다. △네트워크 성능으로 알려진 악성파일 동적 분석 처리, 파일 수집시 최대 네트워크 트래픽 처리 △CPU, 메모리 등 자원의 처리 및 이용수준 등이다.
▲한국인터넷진흥원 이상무 팀장[이미지=보안뉴스]
한국인터넷진흥원 이상무 팀장은 “앞서 언급된 정보보호제품 성능평가 항목은 전문가의 의견을 수렴한 공통사항이며, 제품별에 따라 별도의 자세한 평가가 진행된다. 특히, 국가용 보안규격의 경우 CC평가 기준의 80~85%가 수용된 것으로 보면 될 것”이라며 “정보보호제품 성능평가 제도는 필요시 의견을 수렴해 공지하고 정보를 공유하는 등 유연성 있게 운영할 것”이라고 밝혔다.
향후 성능평가 이용 활성화를 위해 성능평가 제도를 민간에서 공공기관으로 확대하고, 공공기관 도입시 CC인증 필수유형 중 일부 유형은 활용 가능하도록 관계기관과 협의중이다. 이와 함께 활용가이드 제공과 교육도 추진할 방침이며, KISA 내에 있는 오픈 테스트랩의 시험 장비 활용도 지원할 계획이다.
정보보호제품 성능평가 체계는 정책기관, 심의·관리기관, 기술심의위원회, 성능평가기관으로 나뉜다. 정책기관인 과학기술정보통신부에서는 법제도 개선과 정책 결정을 하고, 성능평가기관를 지정하거나 취소할 수 있다. 심의·관리기관인 한국인터넷진흥원은 성능평가기관 지정심사와 관리, 성능평가자 양성과 자격관리, 기술심의위원회 운영 등의 역할을 담당한다. 기술심의위원회는 성능평가 관련 심의를 맡는다. 성능평가기관은 앞으로 지정될 예정이며, 성능평가 수행을 하게 된다.
정보보호제품 성능평가기관 지정은 신청·접수 -> 제출서류 검토와 보완 -> 법인 등기사항 증명서 확인 -> 서류심사와 현장심사-> 심사결과보고서 작성-> 심사결과 심의-> 지정서 교부-> 홈페이지 공개 등의 과정을 거친다. 성능평가기관 지정 신청은 차주쯤 과기부 홈페이지에 공고될 예정이다. 성능평가 전문인력 양성의 경우 평가자 교육 후 시험평가를 진행해 합격자에 한해 평가자 자격이 부여된다. 매년 인력이 양성될 예정이며, 2017년까지 51명을 확보할 예정이다.
정보보호제품 성능평가 절차는 신청·접수 -> 제출물 검토·보완 -> 계약체결·평가팀 구성 -> 수행계획서 작성·검토 -> 평가 수행 -> 결과서 작성 등 성능평가 -> 기술심의위원회 심의 -> 결과서 교부 -> 제품정보 홈페이지 공개 단계를 거친다.
한편, 이날 제도 설명회의 질의응답 시간에는 수많은 질문이 쏟아졌다. 정보보호업체의 경우 제품 평가를 통해 신뢰성을 높일 수 있어 관심이 높을 수밖에 없기 때문이다. 하지만 설명회에서 제기된 질문에 대한 답변이 명쾌하지 않아 불만의 목소리도 곳곳에서 들려왔다.
한 보안업체 관계자는 “내년에 성능평가 인증을 취득하려면 비용 산정에 대해 대략적으로라도 얘기해줘야 하는데, 어떤 정보도 주지 않았다” 며 “내년도 예산에서 인증 비용을 책정하려면 지금 시점에서 대략적인 답변이라도 필요하다”고 아쉬움을 내비쳤다. 또 다른 보안업계 관계자는 “당장 내년부터 시행되는 제도인데 추후 공지된다는 등 상세한 답변을 들을 수 없었다”며 “아직까지 평가기관 지정도 되지 않았다는 등 제대로 준비되지 않았다”며 미흡한 운영을 지적했다.
이 외에 평가제도 운영에 있어 좀더 다양한 의견이 반영돼야 한다는 지적도 나왔다. △CC인증 취득 기업의 경우 인증 평가시 비용 감면 등의 할인혜택 적용 필요성 △사이버 공격 고도화에 따라 평가기준을 CC인증보다 엄격하게 적용해야 한다는 의견 △우수한 성능의 특허 제품 혹은 방어 성능이 뛰어난 제품에 가점 부여 등 자율인증인 만큼 특화되거나 차별화된 평가기준이 반영돼야 한다는 의견이 제기됐다.
이에 대해 이상무 팀장은 “현재는 우수 제품에 대해 가점을 부여하거나 비용을 감면해 주는 등의 혜택은 없지만, 요구사항은 다양한 의견 수렴과 검토 과정을 거쳐 유연성 있게 적용할 것”이라고 밝혔다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 방통위,「개인정보의 기술적ㆍ관리적 보호조치 기준」해설서 개정 발간 (0) | 2017.12.12 |
|---|---|
| [기사] 의료기기 보안 가이드라인, 드러난 윤곽 짚어보기 (0) | 2017.12.04 |
| [기사] 개인정보 위탁시 꼭 지켜야 할 보안수칙 2가지 (0) | 2017.11.16 |
| [기사] 보안 내재화의 핵심은 시스템을 간결하게 하는 것 (0) | 2017.11.06 |
| [기사] 비식별 조치 가이드라인 개선사항 (0) | 2017.11.04 |
