[아이뉴스24 김국배기자] 정보보호 제품 성능평가 제도가 내년초부터 시행된다.
22일 한국인터넷진흥원(KISA)은 2018년 4종의 제품군을 대상으로 이 제도를 우선 시행한다고 밝혔다.
내년 상반기 방화벽 제품을 시작으로 2020년까지 총 10종의 제품군으로 단계적으로 확대할 예정이다.
정보보호산업진흥법에 근거를 둔 이 제도는 정보보호 제품이 운영 환경에서 정상적으로 기능하고 공격에 적절히 대응하는지 측정해 결과를 제공한다.
가격 중심의 시장 경쟁에서 벗어나 품질 경쟁을 유도하고, 글로벌 경쟁력을 높이기 위한 취지다.
기존 보안 기능 보유 여부를 평가하는 정보보호 인증 제도 아래서는 가격경쟁을 통해 제품 도입이 결정돼 과도한 출혈 경쟁을 초래한다는 지적이 많았기 때문이다.
주요 평가 내용은 보안정책 설정·감사기록 등 주요기능의 정상동작 여부, 공격 트래픽 탐지·차단 수준, 네트워크 트래픽 처리 성능, 메모리 등 자원 처리 효율성 등이다.
내년 평가 대상은 방화벽, 안티 바이러스, 샌드박스 기반 지능형지속위협(APT) 대응 장비, 디도스(DDoS) 대응 장비 4종이다.
◆대상 단계적 확대 …연내 평가기관 지정
처음 실시되는 제도인 만큼 원활한 시행을 위해 상반기에는 방화벽 제품만 평가하고, 하반기에 나머지 3종에 대해 평가를 진행할 계획이다.
이어 2019년에는 웹 방화벽, 차세대 방화벽, 침입방지시스템(IPS), 소스코드 보안약점 분석 도구가 추가되며, 2020년에는 IPSec 기반 가상사설망, SSL·TLS 기반 가상사설망, 네트워크 내부정보유출방지(DLP) 제품까지 평가 대상에 포함된다.
현재 성능평가 방법론이 개발된 제품은 방화벽, 디도스 대응장비, 샌드박스 기반 APT 대응장비, 웹방화벽, IPS, 차세대 방화벽, 가상사설망, 안티 바이러스, 소스코드 보안약점 분석도구 등 9종이다.
KISA는 성능평가 확산을 위해 공공기관 도입 시 CC인증 필수 유형 중 일부에 대해 성능평가 결과를 활용할 수 있도록 관계기관과 협의중이다.
또 기업이 중복 인증을 받지 않도록 소프트웨어(SW) 품질성능평가(BMT) 등과 의무 평가대상이 중복되는 제품의 경우 성능평가 결과를 이용할 수 있도록 유도할 방침이다.
성능평가기관은 내년 1월 지정될 예정이며, 신청 시점부터 결과서 교부까지 소요되는 기간은 최대 1.5~ 2.5개월 정도로 예상된다. 내주 평가기관 지정 공고가 나올 예정이다.
이날 열린 설명회에서 이상무 KISA 보안성능인증 팀장은 "현재 51명의 성능평가 전문 인력이 양성돼 있으며, (인력양성은) 계속 진행할 예정"이라며 "성능평가 기관도 올해 지정하는 것을 목표로 하고 있다"고 설명했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기