아주대학교

검색 열기
통합검색
모바일 메뉴 열기
 
 

아주광장

HOME
 

아주인칼럼

[칼럼] 보안제품 성능평가 제각각 안돼야

NEW [칼럼] 보안제품 성능평가 제각각 안돼야

  • 이지윤
  • 2013-07-03
  • 27536

최근 개인, 기업 및 국가 정보에 대한 해커들의 불법침입, 공격, 서비스거부공격 등의 보안사고 발생이 지속적으로 발생하고 있다. 이러한 보안사고를 방지하기 위해서 안티바이러스, 방화벽(Firewall), 침입탐지시스템(IDS), 침입방지시스템(IPS), 분산서비스거부(DDoS) 대응장비 등과 같은 정보보안제품이 도입되고 있다.

이러한 정보보안제품은 사용 목적과 규모에 따라 요구되는 성능조건이 달라지기 때문에 사용자의 환경에 최적화된 정보보안제품 선정이 필요하다. 그러나 현재 사용자의 환경에 따라 용도, 비용 등을 고려하여 정보보안제품을 비교 선택할 수 있는 표준성능평가시험이 없다.

현재 국가ㆍ공공기관에 도입되는 정보보안제품의 보안성에 대해서는 CC(Common Criteria) 평가인증, 보안적합성 검증 등과 같은 제도를 통해 보안성이 검증되고 있으나, 정보보안제품의 성능에 대해서는 객관적인 기준이 없이 제품 발주시마다 자체적인 시험평가가 개별적으로 실시되고 있어, 객관성 및 신뢰성 보장에 대한 어려움이 존재한다. 따라서 사용자의 환경에 맞는 최적의 제품을 선택할 수 있도록 정보보안제품에 대한 성능시험체계를 정립하여 제도화할 필요가 있다.

국내의 경우는 KISAㆍTTA 등이 실시하는 성능시험 사례 및 계측장비 제조사에서 제공하고 있는 시험방법론이 있다. 또한, CC 평가인증제도는 정보보안제품에 구현된 보안 기능의 안전성과 신뢰성을 보증하여 사용자들이 안심하고 제품을 사용할 수 있도록 지원하는 제도이다. 시험 기준은 "ISO/IEC 15408", "ISO/IEC 18045"에 기반으로 평가 및 인증을 수행하고 있다.

국외의 경우는 미국, 영국 등 정보보안제품에 대한 성능시험 사례 및 계측장비 제조사에서 제공하고 있는 시험방법론이 있다. Tolly Group(미국)에서는 시험서비스를 제공하고 있으며, 자체적으로 보유한 시험방법론에 의해 시험을 수행하고, 시험결과서는 요약본 형태로 제공되고 있다. NSTL(미국)은 산업 전반적인 분야에 대한 시험서비스를 제공하고 있으며, 소프트웨어 품질보증시험을 수행하고 있다.

시험결과서는 공개되지 않는다. ICSA Labs(미국)는 정보보안제품에 대한 시험서비스를 제공하고 있으나, 주로 기능 및 보안성 측면의 시험을 수행하며, 침입방지시스템 등과 같은 일부 네트워크 기반 제품에 대해서만 네트워크 성능시험을 수행하고 있다.

Miercom(미국)은 네트워크 및 통신 관련 제품, 정보보안제품에 대한 분석 및 시험을 수행하고 있으며, 시험결과서는 요약본 형태로 공개하고 있다. 성능시험 계측장비 개발업체 중 하나인 BreakingPoint(미국)에서는 침입차단시스템, 침입방지시스템 시험방법론을 제공하고 있다. NSS Labs(영국)에서는 시험서비스를 제공하고 있으며, 정보보안제품에 대해 기능성, 보안성, 성능시험을 모두 수행하고 있다.

현재 정보보안제품 구매시 사용자의 IT 환경에 가장 적합한 기능 및 성능을 보유한 제품을 선택하기 위해서 개별적으로 성능시험을 실시하고 있으나 개별적인 성능시험 수행은 표준화된 성능시험 방법론 및 기준의 부재로 인하여, 성능 관련 요구사항보다는 제조사가 제공하는 다양한 기능들에 치중하는 경우가 많다. 따라서 제품 보안기능보다 부가기능에 대한 정보에 현혹되어, 원하지 않는 성능의 제품을 구매할 확률이 높아진다. 따라서 사용자들에게 정보보안제품 선택시 고려해야할 유용한 정보를 제공하기 위해서는 다음과 같은 표준화된 성능시험체계 수립이 필수적으로 수행되어야 한다.

첫째, 앞에서 논의했듯이 국내외 정보보안제품 성능시험들은 여러 관점에서 각각 장단점을 내포하고 있다. 이러한 국내외 성능시험항목들을 참고하여 국내환경에 적용 가능한 시험항목들이 반영된 표준 성능시험방법론을 관련 기관 및 전문가들이 협의하여 빠른 시일 내에 수립하는 것이 필요하다. 따라서 다양한 정보보안제품들을 표준화된 글로벌 시험항목을 이용하여 비교함으로써 사용자는 최적화된 정보보안제품을 효율적이고 신뢰를 가지고 선택할 수 있게 될 것이다.

둘째, 독립적인 성격을 가진 기관에서 표준화된 성능시험방법론 및 기준으로 성능시험이 제공되고, 성능시험은 객관성 및 공정성이 필수이므로 이를 확보하기 위해서 시험과정과 결과가 공개되어야 한다. 이렇게 공개된 시험 결과를 활용하여 성능시험을 진행하면, 시험항목 및 시험기간을 줄일 수 있어 개발자 및 사용자들 모두에게 도움이 될 것이다. 또한 최소한의 필수적 성능 기준을 만족하는 제품에 대하여 인증 제도를 실시하면, 이러한 인증에 적합한 제품을 생산하게 되어서 결과적으로 정보보안제품의 신뢰성을 향상시킬 수 있다.

유승화 아주대 정보통신대학 교수

[디지털타임스 2013.7.3.]