에스지에이솔루션즈 홈페이지

기존 보안인증에 평가기준 없는 신기술과 융복합 제품 등을 위한 공공분야 도입 기준

2022년 11월 도입...에프원시큐리티 첫 인증 후 현재까지 여섯 개 솔루션 인증받아

​

[보안뉴스 원병철 기자] 공공분야에서 정보보호 제품을 도입할 때 반드시 확인하는 것이 바로 CC인증이나 보안기능확인서, 정보보호 제품 성능평가 등 평가기준의 통과 여부다. 이러한 평가기준을 통과함으로써 최소한의 보안성능을 입증했다고 판단하기 위해서다. 문제는 기존 인증제도에서 평가기준이 없는 신기술 및 융복합 제품은 공공분야에 진입할 방법이 없다는 사실이다.

​

[이미지=gettyimagesbank]

​

이때 필요한 것이 바로 신기술 및 융복합 정보보호 제품 ‘신속확인 제도’다. 이 제도는 그동안 정보보호 업체가 신기술 및 융복합 제품을 연구했을 때 기존 보안인증 제도에서 평가기준이 없어 공공부문 진입에 어려움을 겪는 일이 있어, 이를 해결하기 위해 만들어졌다. 아울러 신기술 개발 촉진으로 스타트업도 공공분야에 진입할 수 있게 되어 정보보호산업의 경쟁력을 강화할 수 있다는 점도 기대할 수 있게 됐다.

​

신속확인서를 발급받은 제품은 공공시장의 약 95%에 적용이 가능하다. 국가정보원은 ‘신 보안적합성 검증체계’에서 정부·공공기관의 그룹을 가·나·다, 3개 그룹으로 분류(2022년 11월 시행)했다. △가 그룹은 중앙행정기관과 국방부, 경찰청, 검찰청, 주요정보통신기반시설관리기관, 광역지방자치단체 등이 포함되며, △나 그룹은 중앙행정기관의 소속·산하기관, 지구대 또는 파출소, 기타 공공기관, 각 교육지원청, 지자체 소속 중 상·하수도 운영기관, 각급 대학교 등이 포함된다. 또한 △다 그룹은 중앙행정기관 산하 위원회, 기초지방자치단체, 기초지방자치단체의 산하기관 및 지방공기업, 각급학교(국·공립 초·중·고) 등이 포함된다. 신속확인서를 발급받은 제품은 3개 그룹 중 나 그룹과 다그룹에 도입이 가능한데, 나와 다 그룹은 공공시장의 약 95%를 차지하고 있는 것으로 알려졌다.

​

신속확인 절차는 신청에서 확인서 발급까지 약 1개월 반에서 2개월 정도 소요된다. 다만 신속확인을 신청하려는 기업은 사전에 대상 여부 검토와 보안점검과 기능시험 등을 준비해야 한다. 이어 신속확인 신청서와 첨부서류를 제출하면 신속확인심의위원회가 제품 설명 등을 통해 신속확인 심의와 의결을 진행한다. 심의결과 ‘적합’일 경우 신속확인서가 발급되며, 유효기간은 2년이다.

​

신속확인 제도의 정책기관은 과학기술정보통신부이며, 신속확인기관은 한국인터넷진흥원이다. 아울러 점검기관은 정보보호 전문서비스 기업, 감리법인 GS 인증기관, KOLAS 공인시험기관이다. 한국인터넷진흥원은 신속확인 제도를 신청하려는 기업을 위해 △제출물 작성방법 교육 영상 △신속확인 점검 수수료 △취약점 자가 점검 도구 등을 지원한다. 다만 수수료 지원의 경우 예산 범위 내에서 선착순으로 지원되며, 신속확인 보안 점검 수수료나 기능시험 수수료의 최대 80%까지 지원된다.

​

정보보호 신속확인 제도 인증 제품

신속확인 제도는 기존 인증제도를 대신하는 정책이 아니고 해당 제품의 국가용 보안요구사항이 마련되기 전까지 혁신제품의 신속한 도입을 지원하는 제도다. 즉, 신속확인을 받았다는 사실만으로 혁신제품이라는 인정을 받을 수 있다는 이야기다. 그렇다면 2022년 11월 시행된 신속확인 제도의 인정을 받은 제품은 어떤 것들이 있을까?

​

에프원시큐리티 ‘F1-WEBCastle’

첫 번째 신속확인 제품은 에프원시큐리티의 호스트 기반 웹 방화벽 ‘F1-WEBCastle’이 차지했다. 에프원시큐리티는 F1-WEBCastle이 웹방화벽 기능을 수행하는 제품으로 네트워크 아키텍처 특성으로 CC인증 비대상으로 분류되어, 국가기관과 공공기관에 제품을 공급하기 위해 신속확인 인증을 추진하게 됐다.

​

[이미지=에프원시큐리티]

​

특히 에프원시큐리티는 2022년 신속확인 제도가 신설되자마자 신청해 1월과 2월 한국아이티평가원(KSEL) 보안점검 및 기능시험 수검을 진행했으며, 4월 신속확인 제1호 기업으로 인증을 획득했다. 아울러 2023년 7월 해당 제품으로 ‘정보보호 혁신대상’을 수상하는 등 대외적으로 높은 평가를 받았다.

​

F1-WEBCastle은 웹서버로 유입되는 트래픽을 분석해 해킹 공격을 탐지하고 차단하는 웹방화벽 제품이다. F1-WEBCastle이 다른 웹방화벽과 차별화된 특징은 웹서버에 설치되는 소프트웨어형 웹방화벽으로 네트워크 아키텍처에 구애받지 않고, 원격에서 보안관리 모니터링 수행할 수 있고, 멀티 클라우드 환경 및 온프레미스 환경 등 어떠한 환경에서도 적용할 수 있다는 점이다. 뿐만 아니라, 웹서버별로 유입된 탐지 패킷 분석이 이루어지므로 SSL 복호화 처리를 할 필요가 없고, 세밀하고 정밀한 보안 Rule 적용이 가능하다. 또한 웹서버와 분리된 보안정책분석 서버를 별도로 운영함으로써 Auto Scaling을 지원하고, 웹서버의 성능 저하를 구조적으로 방지할 수 있다.

​

에스지에이솔루션즈 ‘vAegis’

SGA솔루션즈의 ‘vAegis’는 서버 워크로드 보호에 최적화된 다양한 보안 기능을 제공하는 CWPP(Cloud Workload Protection Platform) 제품이다. 이는 시스템에 침투하는 △악의적인 보안위협·악성코드 차단 △주요 파일에 대한 실행통제 및 무결성 감시 △변조 시 실행통제 △IP·Port 기반 네트워크 접근통제 △사용자 기반 시스템 접근통제 서비스를 제공한다.

​

[이미지=에스지에이솔루션즈]

​

‘vAegis’는 신속확인제와 GS인증 1등급을 획득한 제품으로 한국핵융합에너지연구원·한국전자통신연구원(ETRI)에 도입됐다. 아울러 공공기관·민수·금융 레퍼런스로 확대해 시장 수요에 적극 대응해 나갈 방침이다.

​

프라이빗테크놀로지 ‘PacketGo v2.0’

최근 보안분야 핫이슈로 떠오른 ‘제로 트러스트’ 기술은 신기술이기 때문에 이에 대한 국가보안요구사항이나 보호 프로파일이 없어 관련 솔루션을 개발하는 기업들은 어려움을 겪었다. 프라이빗테크놀로지는 이러한 어려움을 타개하기 위해 신속확인 제도에 도전해 지난 9월 20일 성과를 거뒀다.

​

[이미지=프라이빗테크놀로지]

​

프라이빗테크놀로지는 시행되지 얼마 되지 않은 제도다 보니 앞서 취득한 사례도 많지 않았고, 이에 따라 준비하는 과정에도 크고 작은 어려움이 있었다면서도. 과기정통부와 KISA 등의 적극적인 홍보와 지원 덕분에 세 번째 신속확인제품으로 선정될 수 있었다고 밝혔다. 아울러 최근 제로 트러스트 가이드라인 발표 등과 더불어 보안의 새로운 방향성이 제시되고 있는 만큼 혁신적인 제도를 통해 제로 트러스트 아키텍처 기반의 제품을 신속하게 선보일 수 있게 됐다는 점에서 고무적이라고 밝혔다.

​

아울러 신속확인 인증취득을 통해 그동안 정착되지 않았던 ‘제로 트러스트 구간보안 제품군’이라는 개념이 인정을 받으면서 다양한 분야에서 관심을 보이며, 프라이빗테크놀로지가 과기정통부 주관의 실증 사업을 수행하고 있는 것과 더불어 신속확인제를 통과하면서 한국형 제로 트러스트 보안 모델 구현과 도입을 긍정적으로 바라보는 곳이 늘었다고 강조했다.

​

PacketGo(패킷고) v2.0은 사용자 단말의 보안 상태를 점검하고, 인가된 애플리케이션만이 사내 업무 시스템에 접속할 수 있도록 제어해 안전하지 않은 단말의 접근을 원천 통제하고 인가되지 않은 위험 트래픽으로부터 사내 인프라를 보호하는 제로 트러스트 기술 기반 제품이다. 사용자와 서비스 제공자 사이에 논리적으로 분리된 가상의 네트워크를 만들고, 서비스 제공자와 연결되기 전 위험 인자 여부를 먼저 판별하여 안전한 사용자의 접근만을 허용한다. 또한, 상시 모니터링을 통해 권한 밖의 접근, 보안 정책 우회 시도 등 허용되지 않은 이상 행위가 발생하지 않는지 지속적으로 검증한다.

​

소프트캠프 ‘SHIELDEX Remote Browser’

소프트캠프는 지난 10월 23일 네 번째로 신속확인 인증을 받았다. 소프트캠프는 신기술 및 융·복합기술로 평가되는 RBI(Remote Browser Isolation)의 국가·공공기관에 도입의 근거를 마련하고자 신속확인서를 취득했다고 밝혔다.

​

[이미지=소프트캠프]

​

소프트캠프의 RBI 기술 기반의 가상화 솔루션이 인증되면서, 제로트러스트 보안을 구현하는 SDP(Software Defined Perimeter) 기술 기반의 제품과 더불어 고객들이 제로트러스트 구현 방법에 보다 폭넓은 선택이 가능해졌다. 특히, 디지털 플랫폼 정부의 제로트러스트 보안 구현과 관련 산업 육성 전략을 본격화하는 시점에서 RBI 기반 기술 제품의 국산 솔루션 보안 인증으로 수요가 주목될 것으로 판단하고 있다.

​

제로트러스트 기반의 원격 브라우저 격리(RBI, Remote Browser Isolation) 제품인 ‘SHIELDEX Remote Browser’는 원격 브라우저 격리(RBI) 보안 제품으로 신속확인서 취득한 국내 첫 사례다. 원격 브라우저 격리(RBI)란 원격 서버 환경에 가상 브라우저를 실행해 접속한 화면을 사용자 브라우저에 전송하는 가상화 격리 기술을 말한다. 가트너는 RBI를 SSE(Secure Service Edge)의 핵심 기술 중 하나이며, 제로트러스트 보안의 중요한 기술로 평가하고 있다. RBI는 논리적 망분리에 사용되는 VDI(Virtual Desktop Infrastructure)를 보완할 수 있는 기술로 여겨지며, 해외 유수 보안솔루션 회사들은 이미 제로트러스트 보안솔루션에 RBI 기술을 적극적으로 활용하고 있다.

​

아톤 ‘ATON-mOTP’

핀테크 서비스 기업 아톤은 국내 대표 은행과 증권사, 저축은행, 보험사 등에 공급되어 금융권 내 독보적인 레퍼런스를 보유하고 있는 ‘ATON-mOTP’ 솔루션의 보안 경쟁력과 신뢰성을 입증하고 대외 신뢰도를 제고하기 위해 정보보호 제품 신속확인제 인증취득에 나섰다.

​

[이미지=아톤]

​

ATON-mOTP는 국내 주요 금융기관에서 이미 광범위하게 도입된 제품으로, 금융보안원의 보안성 심의와 더불어 자체적인 취약성 분석 및 소프트웨어 보안 약점 진단 등의 수행을 완료한 제품이다. 신속확인제 취득 진행을 위해 국내 다수 시험 기관들의 컨설팅 결과 제도 및 솔루션에 대한 이해가 가장 높은 시험 기관을 선택하게 되었고, 시험 기관과 KISA의 적극적인 협조를 통해 인증을 취득했다.

​

아톤은 이번 신속확인제품 선정을 통해 ATON-mOTP의 독보적인 보안성과 신뢰성을 국가기관을 통해 다시 한번 증명하게 되었다고 밝혔다. 또한 기존 은행, 증권사 등의 금융권 외에도 향후 세무서, 우체국 등 중앙행정기관 소속 및 산하기관과 지방 공기업 등의 공공부문에서도 솔루션 공급처를 확장할 수 있을 것으로 기대하고 있다.

​

2017년 첫선을 보인 ATON-mOTP는 스마트폰 내에서 일회용 비밀번호를 생성해 기존에 보안매체로 활용되던 금융권의 실물 OTP와 보안카드를 대체한 솔루션이다. 특히 ATON-mOTP 솔루션은 화이트박스 암호화기술 기반 특수 보안매체 솔루션 엠세이프박스를 적용해 OTP 키, 알고리즘에 대한 불법적 유출을 원천 차단함으로써 최고 수준의 보안과 간편한 추가 인증 절차를 제공한다. 현재 국내 금융권 내 독보적인 레퍼런스를 보유하고 있으며, 베트남, 일본, 인도네시아, 인도, 캄보디아 등 현지 은행과 증권사에 보급돼 국내를 넘어 해외 시장으로도 확장하고 있다.

​

베이스스톤 ‘Quardian’

2023년도의 마지막 신속확인서 획득 제품은 베이스스톤의 Quardian이다. 사용자의 정보자산을 안전하게 보호하기 위해 양자난수를 활용해 예측 및 복제가 불가능한 암호화 키를 제공하고 보관하는 기술이 특징인 제품이다. 그동안 해당 기술의 평가기준이 없어 정보보호제품 사전인증제도나 암호모듈 안전성 검증 등이 불가했지만 신속확인 제도를 통해서 공공분야에 진출할 수 있게 되었다.

[원병철 기자(boanone@boannews.com)]

​