|
국가정보원
IT인증사무국이 보안적합성 심사과정에 새로이 현장테스트를 추가한 것으로 알려졌다. 최근
외산업체 최초로 보안적합성 인증을 통과한 티핑포인트는 심사과정에서 초기 예정에는 없었던 현장테스트를 받았다고 밝혔다.
티핑포인트 박진성 이사는 27일 보안적합성 인증과 관련해 가진 자리에서 이같이 밝히고, 국정원
평가 가이드라인이 새로이 자리잡고 있다고 설명했다.
박진성 이사에 따르면 국정원은 근래부터 보다 세밀하고 안정적인 사례를 만들려고 노력하고 있고, 대표적인
신규 방안이 바로 현장테스트이다.
이번 인증과정을 살펴보면 우선, 국정원은 자체 설정한 랩 환경하에 IPS 제품 ‘티핑포인트 1200’과 ‘티핑포인트 2400’을 계측기로 테스트했다. 여기까지는 기존 국산업체들이
받던 랩 테스트와 같은 과정이다.
그러나 랩 테스트 후 티핑포인트에 대해 검증을 신청한 기관에 제품을 설치하고, 모의
운영을 실시하는 등 새로운 절차가 더해졌다. 현장테스트는 검증 신청내용과 제품 성능이 일치 여부에
초점을 두었다. 이 과정에서 티핑포인트는 제품만 제출하고 평가에는 전혀 관여할 수 없었다.
박진성 이사는 “신청내용이 사실대로만 작성됐다면 통과하는 것이 당연한 일”이라고 강조했다.
현장테스트는 국/외산 모두 해당
단, 이같은 현장테스트 시행이 티핑포인트가 최초는 아니다. 지난달 인증 완료된 국산 윈스테크넷의 ‘스나이퍼 IPS’가 첫
테이프를 끊은 것.
윈스테크넷 관계자는 “스나이퍼IPS 역시 평가기간이 생각보다 길어진 것이 사실”이라며
“관련한 여러 이유 중 새로 추가된 현장테스트도 한몫을 했지만 최초 성공사례를 기록하며 제품 신뢰도를 더욱 올렸다”고 설명했다.
일각에서는 현장테스트가 외산에만 적용되는 것이 아니냐는 추측이 있었지만, 윈스테크넷의
사례가 알려지면서 이는 국산과 외산을 모두 아우르는 국정원의 새로운 검증 지침인 것으로 풀이되고 있다.
한 업계 관계자는 “국정원에서는 원래 신청업체 순서나 과정 등을 자세히 밝히지 않기 때문에 각종 추측이 난무할 수밖에 없다”고
설명했다.
이번 현장테스트에 대한 자세한 사항과 향후 지속여부에 대해 국정원 IT인증사무국 측에
문의했지만 담당자 부재로 인해 답변을 들을 수 없었다.
아울러 티핑포인트 검증이 늦어진 또 하나의 이유는 국정원이 요구하는 CC인증 제품이
단종된 1.2버전(2003년)이었기 때문이다.
박진성 이사는 “정보보호제품 공통평가방법론에 따라 CC인증 당시 제품만이 적합성 심사를
받을 수 있다”며 “이를 본사 R&D에서 공수하고 정비하는데 상당한 시간이 소요됐다”고 설명했다.
어쨌든 이번 인증과정이 알려지면서 국정원의 외산제품 차별에 대한 의혹은 어느 정도 풀릴 것으로 보인다. 그간 보안적합성 심사를 신청한 외산 기업들이 모두 반년 이상을 기다리면서 국정원은 ‘보이지 않게 국산업체를
감싸고 있다’는 시선을 받아온 바 있다.
티핑포인트, 최초 외산인증 적극 마케팅 계획
한편, 티핑포인트는 보안적합성 통과를 계기로 신규 수요 창출에 나선다. 특히 연구소와 교육기관을 적극 공략하는 한편, 기존 고객의 충성도도
올릴 계획이다. 인증발표 이틀만에 2건의 신규문의가 들어오는
등 효과가 나타나고 있다.
하지만 들뜬 분위기 보다는 조심스런 자세를 지향하기로 했다. 보안적합성 인증이 공공시장
성공을 보장하는 것은 아니기 때문이다. 이에 매출증대 목표도 기존보다 2~3배가 아닌 20% 정도로 잡았다.
박진성 이사는 “성능과 가격경쟁은 여전할 것이고 인증으로 인해 국산업체의 경계는 더 커질 전망”이라며 “본사에서 너무 큰 실적을
기대할까봐 걱정되는 면도 있다”고 설명했다.
참고로 해외에서 티핑포인트 IPS는 독립적인 보안제품 테스트 및 인증기관인 사이버트러스트(Cybertrust, Inc.) 랩 부문에서 멀티기가급으로는 최초이자 유일하게 심사를 통과하는 등 명성을
얻고 있다. @
|