거의 일년을 준비한... (CC 인증같지만 CC 인증이 아닌) 국내용 정보보호제품 인증. 오늘 사전점검 시험을 마침으로써 한 고비를 넘겼다. 하고 싶지 않은 일을 떨떠름하게 받아들고 여기까지 왔다.
이 분야는 희한한 게... 고인물(?)이 되어버렸다. 인증기관과 평가기관은 어떤지 잘 모르겠다... 인증평가를 받아야 하는 벤더 입장에서 평가를 준비하고, 평가자를 중간에 끼고 인증기관과 씨름해야 하는 역할이니 달가운 업무일 수 없다.
업의 특성 상 개발자들에게 환영받기 힘들고, 인증기관은 갑처럼 굴고, 말도 안 되는 비현실적인 평가 기준에 제품을 재단해 맞춰야 하고, 포커 페이스를 유지해야 하는... 별로 즐겁지 않은 일이다.
CC 인증 평가를 수행하는 국가들(인증서 발행국)은 저마다 자기 나라에 맞는 평가 스킴(scheme)을 갖는다. 미국에서 인증을 받은 제품들을 보면 우리나라의 평가 스킴이 얼마나 후졌는지 알 수 있다. 왜 뜬금없이 제품이냐고? Red Hat을 예로 들어보자.
Red Hat은 자기들의 리눅스 배포본(RHEL, Red Hat Enterprise Linux)의 메이저 버전이 변경되면 CC 인증을 받는다. 그렇게 인증을 받는 제품들은 사실상 상용 제품들이고, CC 인증에서 요구하는 보안요구사항을 적용하기 위한 유틸리티를 제공한다. 유틸리티를 실행하는 것만으로 상용 제품을 CC 인증이 요구하는 형상으로 사용할 수 있다! 꽤나 고무적인 일이다.
우리나라의 인증스킴은 매우 보수적이고 현실과 괴리가 심하다. 공공기관의 보안정책 컨트롤 타워는 국정원이다. 국정원은 국가용 정보보호제품 보안요구사항이라는 기준이 있고, 공공기관은 이 기준에 맞는 정보보호제품만 도입할 수 있다. 국가보안기술연구소 산하 IT보안인증사무국이 운용하는 국내용 인증 제도와 국제용 인증 제도(CC 인증)는 대부분 이 국가용 정보보호제품 보안요구사항에 초점이 맞춰져 있다. 이 요구사항들을 맞추려면 상용 제품을 수정해야 한다!
수정이 필요한 이유는... 국가용 정보보호제품에 허용되지 않는 기능이 소스코드 수준에서 제거되어야 하고, 해당 기능을 끄고 사용하거나 비활성화하는 것이 허용되지 않기 때문이다. 여기에서 상용제품과 정부기관용 제품의 베이스라인이 차이가 날 수 밖에. CC 인증에 맞도록 제품의 기능을 끄거나 비활성화하는 도구를 이용하면 안되나? 벤더에서 CC 인증을 준비하다보면, 이 문제에서 좌절을 겪는다.
인증기관은 한번 무엇에 꽂히면 굉장히 집착할 뿐더러, 커뮤니케이션 방식이 굉장히 후졌다. 예를 들어 SSH 포트포워딩 기능이 그렇다. 인증기관의 지침에 따르면 방화벽같은 네트워크 기기에 탑재되는 sshd 데몬은 소스코드 수준에서 포트포워딩을 제거해야 한다. 그저 sshd_config에서 비활성화하면 가능한 것을, 소스코드 수준에서 제거해야 하므로, OpenSSH 새버전이 나오면 포워딩 기능을 일일이 제거하도록 제조사가 코드를 변형해 써야 한다. 여기에서 비롯되는 비용과 시간 낭비는 오롯이 벤더의 몫이다. 왜 인증기관이 기술적인 세부사항까지 일일이 정해야 하나? 엄청난 비효율과 손실을 가져오는 방법을 왜 벤더는 인증이라는 이름으로 수용해야 하는지 알 수 없다.
지금도 SSH 포트포워딩이 중요한 이슈인지는 모르겠다. 꽤 오래 전에, 이게 굉장히 중요한 이슈인 것처럼 닥달했고, 안랩의 방화벽 제품은 이것 때문에 CC 인증 효력이 정지되는 일도 있었다.
안랩에서 일하던 어느날, 알 수 없는 번호로 전화를 받았다. 국정원 담당자라 밝히고, 안랩의 어느 제품에 SSH 포트포워딩 기능이 있으니 비활성화 조치를 하라고 한다. 잔뜩 긴장해 전화를 받았는데, KISA 인증평가단 출신 팀장은 어디선가 또 연락을 받았나보다. SSH 포트포워딩 기능을 소스코드 수준에서 제거해야 한다고 전달받았다. 개발팀에 전달했을 때, 매우 난처해하며 이해할 수 없다는 이야기를 들었다. 환경설정 파일만 수정하면 간단히 해결될 문제를 그렇게 해결해야한다니 누가 곤란하지 않을까? 기술적 결정을 왜 국가기관이 임의로 결정해서 하달하는 것일까? 일단 정부의 요구사항이므로 이행해야 하는 것으로 전달했다. 그 후 국정원으로부터 또 전화를 받았는데, 어찌되었냐고 한다. 준비 중이라고 했더니, 대응이 늦다며 해당 제품의 CC 인증 효력을 정지하겠다고 한다. 뭐라 대꾸할 새 없이 전화는 끊어졌고, 그날로 인증효력이 정지되었다. 내 기억으로는 정보보호시스템 평가/인증 수행규정 제71조에 명시된 보완기간(30일)보다도 짧은 기간 안에 이뤄진 일이다. 진짜 후졌다. 공문 한 장 없이 전화로? 2009년에 이랬다.
지금 인증기관은 많이 나긋나긋하고 상냥해진 편이다. 무슨 생각이 들었는지, 평가와 관련해 문서화된 지침도 제공하려고 노력하는 것같다.
시어머니같은 인증기관의 자세는 평가기관 입장에서 볼 때에도 편하지 않다. 그럼에도 볼멘소리 하나 할 수 없는 입장에 있는 듯 싶다. 평가기관은 일정한 주기로 인증기관으로부터 평가기관으로서 자격을 심사받는다. 평가원 자격도 그러지 않나 싶다. 목줄을 인증기관이 쥐고 있는데, 어떻게 평가자가 목소리를 높일 수 있나? 평가기관에 대한 심사는 인증기관으로부터 독립시키는 게 낫겠다. 평가자들 보면 불쌍하다. 평가신청업체와 인증기관 사이에 끼여서 조리돌림당하는 신세가 될 수 있고, 개발경험도 부족하고 보안운영 경험도 없는 인증담당자들이 백면서생처럼 되뇌이는 말도 안되는 소리를 들어야 할테니 말이다. 평가신청업체 입장에서는 인증제도와 관련해 하소연할 곳이 평가자들 밖에 없다. 지금은 CC인증사용자포럼이 있고 정보보호산업협회가 중간 채널 역할을 해주고 있다. 그럼에도 평가자가 목소리를 높이기는 쉽지 않다. 오죽하면 CC인증사용자포럼을 통해 의견을 개진해달라고 하나?
아... 화나. 이래서 CC 인증 일을 오래하면 나만 나쁜 놈 되지.
