[취재수첩] 혼란만 키운 국정원 DDoS 대응장비 시험
2009.11.24 18:24:56 / 이유지 기자 yjlee@ddaily.co.kr
국가정보원이 석달 이상 끌어온 분산서비스거부(DDoS) 대응 장비에 대한 별도지정 시험 결과가 최근 공개됐다.
5개 분야 범정부 DDoS 대응체계 구축 사업 우선협상대상자가 모두 확정된 바로 그 다음날인 지난 11일이었다.
국정원은 이번 사업에 경제, 시·도, 교육·과학 분야 4개 사업에 각각 선정된 나우콤과 시큐아이닷컴의 제품만을 별도지정 목록에 등재했다.
경찰청에 공급될 예정이던 라드웨어 장비는 제외되면서 결국 경찰청 사업에 구축되는 제품은 시큐아이닷컴 제품으로 교체되는 일이 발생했다.
이같은 혼선은 시험결과를 뒤늦게 공개한 국정원의 책임이 크다. 이번처럼 범정부 차원에서 대단위 보안체계 구축 사업을 추진하는데 있어 주무기관인 행정안전부와 손발이 맞지 않는다는 점을 보여준 꼴이 됐다.
특히, 국정원은 별도지정 시험 결과를 공지하면서 현황을 제대로 설명하지도 않았다. 국정원은 “현재까지 시험이 완료된 두 제품만 올린 것”이라며, “나머지 제품은 아직 시험중”이라고만 밝혔다. 그런데 당시에는 11개 제품에 대한 시험은 모두 완료된 상태였다.
이 뿐만이 아니다. 국정원은 DDoS 대응장비 별도지정 과정에서 계속해서 일관성 없는 방침으로 업계의 혼란을 유발했다.
지난 7.7 DDoS 공격 직후, 국가기관이 시급히 DDoS 대응체계를 마련할 수 있도록 전용장비를 별도지정한다는 방침을 수립하면서 국정원은 시험에 앞서 5개 제품을 별도지정 제품으로 등재했다.
7.7 공격 당시 대응, 구축 및 운영 사례, 국제공통평가기준(CC)평가 진행 현황 등을 고려해 나우콤, LG CNS, 라드웨어, 시스코시스템즈, 아버네트웍스의 5개 업체의 제품을 추린 것이었다.
당연히 이들 5개 제품이 이미 별도지정된 것으로 해석됐다.
국정원은 또한 별도지정제도가 한시적으로 운영되는 제도라는 사실도 나중에 알렸다.
DDoS 대응 장비를 국가공공기관에 공급하려면 별도지정된 제품이라도 내년 2월까지 CC평가계약을 완료해야만 한다.
더욱이 아직까지 국정원의 별도지정 시험이 완전히 끝나지도 않은 상태다. 이러다간 별도지정 시험에 소요되는 기간은 4~5개월이 넘게 된다.
업체들이 별도지정이 아니라 CC평가에 집중했다면 CC인증을 받을 수도 있는 기간이다.
“4개월 이상 걸릴 줄 알았으면 별도지정 신청을 하는 것이 아니라 CC평가를 받을 걸 그랬다”는 업체들의 이야기도 무리는 아니다.
이밖에도 별도지정 시험방법이나 결과발표 시점 등과 관련해 많은 불만섞인 이야기가 나오고 있다.
결과적으로 국정원이 정책을 일관성 없이, 즉흥적으로 운영한 결과다.
국정원이 이끄는 IT보안인증 정책은 산업계에, 개별 업체, 국가 보안체계 구축에 막대한 영향을 미친다.
그런만큼 더욱 신중한 접근과 일관성 있고 납득할만한 정책을 구사해야 한다.
또 민간업체가 개발한 상용 보안제품을 국가기관에 설치해 활용토록 하기 위해 운영하는 제도라는 점에서 업체들이 너무 과하다거나 공정하지 못하다고 여겨지는 공통분모를 더욱 세심하게 걸러낼 필요가 있다.
<이유지 기자>yjlee@ddaily.co.kr
5개 분야 범정부 DDoS 대응체계 구축 사업 우선협상대상자가 모두 확정된 바로 그 다음날인 지난 11일이었다.
국정원은 이번 사업에 경제, 시·도, 교육·과학 분야 4개 사업에 각각 선정된 나우콤과 시큐아이닷컴의 제품만을 별도지정 목록에 등재했다.
경찰청에 공급될 예정이던 라드웨어 장비는 제외되면서 결국 경찰청 사업에 구축되는 제품은 시큐아이닷컴 제품으로 교체되는 일이 발생했다.이같은 혼선은 시험결과를 뒤늦게 공개한 국정원의 책임이 크다. 이번처럼 범정부 차원에서 대단위 보안체계 구축 사업을 추진하는데 있어 주무기관인 행정안전부와 손발이 맞지 않는다는 점을 보여준 꼴이 됐다.
특히, 국정원은 별도지정 시험 결과를 공지하면서 현황을 제대로 설명하지도 않았다. 국정원은 “현재까지 시험이 완료된 두 제품만 올린 것”이라며, “나머지 제품은 아직 시험중”이라고만 밝혔다. 그런데 당시에는 11개 제품에 대한 시험은 모두 완료된 상태였다.
이 뿐만이 아니다. 국정원은 DDoS 대응장비 별도지정 과정에서 계속해서 일관성 없는 방침으로 업계의 혼란을 유발했다.
지난 7.7 DDoS 공격 직후, 국가기관이 시급히 DDoS 대응체계를 마련할 수 있도록 전용장비를 별도지정한다는 방침을 수립하면서 국정원은 시험에 앞서 5개 제품을 별도지정 제품으로 등재했다.
7.7 공격 당시 대응, 구축 및 운영 사례, 국제공통평가기준(CC)평가 진행 현황 등을 고려해 나우콤, LG CNS, 라드웨어, 시스코시스템즈, 아버네트웍스의 5개 업체의 제품을 추린 것이었다.
당연히 이들 5개 제품이 이미 별도지정된 것으로 해석됐다.
국정원은 또한 별도지정제도가 한시적으로 운영되는 제도라는 사실도 나중에 알렸다.
DDoS 대응 장비를 국가공공기관에 공급하려면 별도지정된 제품이라도 내년 2월까지 CC평가계약을 완료해야만 한다.
더욱이 아직까지 국정원의 별도지정 시험이 완전히 끝나지도 않은 상태다. 이러다간 별도지정 시험에 소요되는 기간은 4~5개월이 넘게 된다.
업체들이 별도지정이 아니라 CC평가에 집중했다면 CC인증을 받을 수도 있는 기간이다.
“4개월 이상 걸릴 줄 알았으면 별도지정 신청을 하는 것이 아니라 CC평가를 받을 걸 그랬다”는 업체들의 이야기도 무리는 아니다.
이밖에도 별도지정 시험방법이나 결과발표 시점 등과 관련해 많은 불만섞인 이야기가 나오고 있다.
결과적으로 국정원이 정책을 일관성 없이, 즉흥적으로 운영한 결과다.
국정원이 이끄는 IT보안인증 정책은 산업계에, 개별 업체, 국가 보안체계 구축에 막대한 영향을 미친다.
그런만큼 더욱 신중한 접근과 일관성 있고 납득할만한 정책을 구사해야 한다.
또 민간업체가 개발한 상용 보안제품을 국가기관에 설치해 활용토록 하기 위해 운영하는 제도라는 점에서 업체들이 너무 과하다거나 공정하지 못하다고 여겨지는 공통분모를 더욱 세심하게 걸러낼 필요가 있다.
<이유지 기자>yjlee@ddaily.co.kr
▶네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
- IT언론의 새로운 대안-디지털데일리
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
![[PLAY IT] 유튜버 위한 초소형 짐벌 카메…](/data/photos/cdn/20181252/art_1545868173.jpg "[PLAY IT] 유튜버 위한 초소형 짐벌 카메…"){kind=small}
LGU+ 멤버십, 쇼핑서비스로 커머스 영역 확장
![[갤럭시언팩] 삼성전자 고동진 대표, “5G, 4차산업 방아쇠이자 엔진…스마트폰·장비 모두 기회”](http://www.ddaily.co.kr/data/cache/public/photos/cdn/20190208/art_1550714713_58x58.jpg)
![[취재수첩] 유료방송 M&A 열풍…통신사·정부 역할 중요](http://www.ddaily.co.kr/data/cache/public/photos/cdn/20190208/art_1550713767_58x58.jpg)
