With implementation of a system to verify network equipments security conformance in public organizations to begin in a month’s time, emergency light has been turned on for the industry centering on global equipments makers. Although equipments for contracts to be signed from October will need to satisfy security conformance requirements, a considerable number of companies are still complaining about the tight schedule and difficulties in the related function development. A sense of crisis spreads that the implementation of this public project may become difficult.

According to the industry on the 3rd, public organizations introducing switches and routers must apply for equipment security verification to National Intelligence Service (NIS) from next month. NIS will verify equipment security through National Security Research Institute (NSRI). In July, NIS and NSRI confirmed and announced a total of 44 security functional requirements, which are comprised of 27 compulsory and 17 optional requirements.

NIS has been conducting a pilot verification centering on the 21 minimum security functional requirements since September last year. However, the industry is complaining that response is difficult realistically as it has only been a couple of months since the final requirements were announced and some items have been changed and added. The industry needs to test software suitable for each equipment version by linking it with numerous types of equipments.

“We need to develop related functions by equipment in various versions. The head office shows unwillingness about our demand to develop the respective functions for the Korean market only,” said the president of a global equipments maker. He criticized, “The final plan came out in July. It is realistically difficult for us to develop the functions in only two months. He added that another company had requested postponement of the system implementation, but it was not accepted.

The industry claims that it takes at least six months for them to develop and test a single security function for equipments. Some companies are preparing to make a request to their head offices. However, their common stance is that it is difficult to respond to the system implementation from October.

“Although the system and functional requirements have been finalized, there are still many details to be worked on,” said another global company insider. “For example, if we were to take a router or a switch valued at several hundreds of millions of won to Daejeon and to test it there, there is nobody to assume responsibility for such issues as equipment damage or theft that may occur during the course of transportation and storage.”

“What the industry wants is a bit more time to prepare for response.” He continued, “Each company has different equipment or business characteristics. We ask the government to give thoughts to setting up a more flexible plan.”

He said that he had traveled back and forth from NSRI to discuss the matter numerous times, but was only given a response that there would not be any changes in the implementation scheduled for October. According to him, NSRI did not give a clear answer regarding how equipments not passing conformance verification will be handled.

“It is not yet October, but some RFPs are already demanding products that are completed of security conformance verification,” said another company insider. “Korea has acceded to Common Criteria Recognition Arrangement (CCRA). So, ultimately, we need to discuss why the government has made an additional system.”

NIS is also scheduled to make the application of Common Criteria (CC) to network equipments compulsory from 2016. Although source code disclosure has not been confirmed, the industry regards it as a barrier blocking overseas equipments entry, and thus the controversy is forecast to continue for some time in the future.

Ahn Ho-cheon | hcan@etnews.com

네트워크 보안적합성 검증 시행 한달 앞두고 업계 초비상

공공기관 네트워크장비 보안적합성 검증제도 시행이 한 달 앞으로 다가오면서 글로벌 장비 업체를 중심으로 비상이 걸렸다. 10월 계약하는 장비부터 보안적합성 요구사항을 만족해야 하지만 상당수 업체가 촉박한 일정과 기능개발에 어려움을 호소하고 있다. 자칫 공공사업이 어려워질 수 있다는 위기감이 확산됐다.

3일 업계에 따르면 내달부터 스위치와 라우터를 도입하는 공공기관은 국정원에 장비 보안성 검증을 신청해야 한다. 국정원은 국가보안기술연구소(이하 국보연)을 통해 장비 보안성을 검증한다. 앞서 지난 7월 국정원과 국보연은 필수 27개, 선택 17개 총 44개 보안기능 요구사항을 확정해 발표했다.

국정원은 지난해 9월부터 21개 최소 보안기능 요구사항을 중심으로 시범검증 작업을 진행해왔다. 하지만 업계는 최종 요구사항이 발표된지 두 달여밖에 되지 않았고 일부 항목은 변경, 추가됐기 때문에 현실적인 대응이 어렵다고 토로했다. 한 번 개발로 끝나는 게 아니라 장비별 버전에 맞는 소프트웨어를 수많은 이기종 장비와 연동해 테스트해야 하기 때문이다.

한 글로벌 장비업체 사장은 “여러 버전의 장비별로 관련 기능을 개발해야 하는데 본사에서 한국만을 위해 해당 기능을 개발해달라는 요구에 난감한 반응을 보이고 있다”며 “최종안이 7월에 나왔는데 두 달 만에 해당 기능을 개발하기란 사실상 어렵다”고 지적했다. 그는 다른 업체가 제도 시행 연기를 요청했지만 받아들여지지 않았다고 덧붙였다.

장비에 필요한 보안 기능을 하나 개발해 적용하려면 테스트 기간까지 최소 6개월 이상이 필요하다는 게 업계 주장이다. 일부 업체는 본사에 의뢰해 준비하고 있지만 당장 10월부터 대응은 어렵다는 게 공통된 입장이다.

다른 글로벌 업체 관계자는 “일단 제도와 기능 요구사항은 확정됐지만 아직도 뒷받침돼야 할 사항이 많다”며 “가령 수억원짜리 라우터나 스위치를 대전까지 가져가 테스트할 경우 운반과 보관 과정에서 발생하는 장비 파손이나 도난 등의 문제는 아무도 책임질 곳이 없다”고 말했다.

이 관계자는 “업계가 원하는 것은 유예 기간을 좀 더 두고 대응할 수 있는 시간을 달라는 것”이라며 “업체마다 장비나 사업 특성이 다 다른데 좀 더 융통성 있는 방안을 고민해줬으면 한다”고 말했다.

그는 국보연을 오가며 많은 논의를 했지만 10월 추진 일정에는 변함이 없다는 입장만 확인했다고 털어놨다. 10월 이후 적합성검증을 받지 못한 장비의 처리 방안에 대해선 아직 명확한 답을 듣지 못했다는 설명이다.

또 다른 관계자는 “아직 10월이 되지도 않았는데 벌써부터 보안적합성 검증을 통과한 제품을 요구하는 RFP가 나오고 있다”며 “궁극적으로 우리나라가 국제상호인정협정(CCRA)에 가입돼 있는데 왜 별도의 제도를 추가로 만들었는지 다시 논의해봐야 한다”고 말했다.

국정원은 2016년부터 네트워크장비에 국제공통평가기준(CC인증)도 의무화할 예정이다. 아직 소스코드 공개 여부는 확정되지 않았지만 업계는 해외 장비 진입을 막는 장치로 보고 있어 당분간 논란이 계속될 전망이다.

안호천기자 | hcan@etnews.com