지니언스 인증 담당자를 만나다

보안 업계에서 가장 중요한 것 중 하나, 바로 보안인증 입니다.

하지만 그 중요성에 비해 업무나 일하는 사람에 대해 알려진 바가 거의 없는데요. 이번 블로그에서는 지니언스 솔루션의 인증 담당자들을 만나보고 보안인증이란 무엇인지, 어떻게 일하는 지를 자세히 알아봅니다.

1. 지니언스 인증파트 담당자는 어떤 일을 하는지 소개 부탁드립니다.

[그림1] 지니언스 인증파트 담당자

- 방지환 책임 : 안녕하세요? 기술연구소 연구기획실 인증파트 방지환입니다. 인증파트에서 하는일은 CC인증 및 GS인증, 보안기능확인서, KISA의 성능평가 등 자사 솔루션에 대한 다양한 인증을 획득하여 제품의 신뢰를 높이는 업무를 하고 있습니다. 인증을 획득하기 위해서 솔루션 테스트 및 인증평가기관에서 요구하는 산출물 등을 준비하여 제출합니다.

그리고, 공공기관에 도입하는 정보보호 제품은 보안적합성 검증이 필수 사항입니다.
보안적합성 검증은 국가정보통신망에 보안수준 제고를 위해 국가정보원법 제4조와 전자정부법 제56조에 의해서 검증을 하는 제도 입니다. 이 제도에 관련된 인증이 상기에 언급한 CC인증, 보안기능확인서, KISA의 성능평가 등 입니다.

-김용학 전임 : 안녕하세요? 저는 지니언스에서 방지환 책임님과 함께 인증파트를 담당하고 있는 김용학 전임 입니다. 지니언스에서 3년 이상 재직하면서 CC인증을 시작으로 GS인증 및 보안기능확인서 등의 업무를 수행하고 있습니다. 또한, 취약점 점검 도구를 활용하여 자사 솔루션에 대한 취약점을 파악 및 분석하여 내부직원들에게 내용을 공유하고 있습니다.

2. 다양한 인증이 있는 것 같은데요, CC인증에 대해서 더 자세히 설명 부탁드립니다.

- 김용학 전임 : CC인증은 정보보호제품에 대한 국제 수준의 신뢰성을 확보하고 더 나아가 국가통신망의 정보보호수준을 제고하려는 목표를 실현하기 위해 상용 정보보호제품에 구현된 보안기능의 안전성 및 신뢰도를 평가･시험하여 그 결과를 인증하는 제도로서 ｢지능정보화 기본법｣에 의거하여 운영되고 있는 제도입니다.

- 방지환 책임 : CC인증 관련 기관은 크게 아래와 같이 3개 기관으로 구성되어있습니다.

정책기관 : 정책기관 정보보호제품 평가･인증에 관한 정책과 관련 규정을 수립･시행하는 기관입니다.
인증기관 : “인증서를 발급하기 위해 평가기관이 수행한 정보보호제품 등의 평가결과를 승인”하는 인증업무를 수행하며 평가･인증체계를 지속적으로 감독하고 운영할 책임이 있는 기관입니다.
평가기관: ISO 17025 인정서를 획득한 공인시험기관이 정보보호제품 등이 평가기준 및 평가방법론에 부합하는지 여부를 조사할 수 있는 평가능력을 갖추었음을 인증기관이 승인한 기관입니다.

[표1] 기관별 주요 임무

- 김용학 전임 : CC인증 업무 프로세스는 주로 평가기관과 평가 신청/계약/평가를 진행합니다.

1) CC인증 평가 신청서 작성하여 평가기관에 접수
2) 제품과 제출물을 준비하여 평가기관과 사전점검 진행
3) 사전점검 요구사항 만족 후 계약 진행
4) 제출물설명회
5) 평가 착수 및 진행
6) 제출물 보완
7) 인증서 획득

[그림2] CC인증 프로세스 구성도
*출처 : 2022 정보보호제품 평가 인증 안내서(ITSCC)

- 방지환 책임 : 평가 진행에 대해서 덧붙혀 말한다면, 평가 진행 시 지니언스 인증파트에서 준비한 제출물, 제품을 제출합니다. 그 후 평가기관에서는 제출물에 대한 검토 및 보완 요청을 하고, 이상이 없을 시 인증기관에 CC인증에 적합하다고 보고를 합니다.

image3-1
[표2] 평가보증등급별 제출물 리스트
*출처 : 2022 정보보호제품 평가 인증 안내서(ITSCC)

- 방지환 책임 : 평가가 완료되면 인증기관에서는 평가 제품에 대한 인증서를 만들어 줍니다.
그리고, 정보보호제품 평가･인증(CC 평가･인증) 제도 운영에 관한 구체적인 사항은 ｢정보보호제품 평가･인증 수행규정｣에 정의되어 있으며 최신 개정 문서는 IT보안인증사무국 웹사이트(https://www.itscc.kr)의 “관련규정” 페이지에서 확인 및 다운로드가 가능합니다.

아래는 최근 당사에서 획득한 CC인증서 입니다.

image4-1
[그림3] Genian NAC Suite V5.0 SP1 CC인증서

3. 지니언스에서 인증을 수행하면서 어려웠던 점과 해결 방안 이야기 해주세요.

- 방지환 책임 : 정보보호 제품 국가용 보안요구사항을 해석하여, 자사 제품이 준수하고 있는지 검토하는 과정이 다소 어려웠습니다.

주로 인증.평가기관과 당사와의 보안요구사항 의견차이로 인해 제품을 보완/개발 해야 하는 이슈가 발생합니다.
그래서, 정보보호 관련 규정 및 국내외 표준 문서와 동향을 기반하여 해석한 후에 당사의 개발자와 원활한 커뮤니케이션으로 제품을 보완/개발한 기억이 납니다.

image5-1

[그림4] 지니언스 인증파트 업무 프로세스

- 김용학 전임 : 2022년도에 **국가용 보안요구사항 V3.0과 지니언스에서 작성한 일반보안요구사항을 적용하여 EDR 최초 보안기능확인서 획득하는 업무가 생각이 납니다.
국내 EDR 제품군에서는 해당 보안기능확인서를 획득한 사례가 없었기 때문에, 레퍼런스를 찾기 어려웠고 모든 것을 개척해야하는 부담감이 발생했습니다.
(**국가용 보안요구사항 : 국가정보원 국가사이버안보센터에서 관리하는 요구사항)

처음에는 짧은 평가일정 때문에 "이게될까?"라는 생각이 들었고, 평가기간에는 산출물 작성과 테스트 과정에서 "이게 진짜 될까?"라는 생각이 한번 더 들게 되었습니다.

그럼에도 불구하고, 사수인 방지환 책임님의 전폭적인 지원으로 평가준비를 원활하게 할 수 있었고
당사 EDR 개발팀에서 산출물에 활용 할 수 있는 자료를 제공해줘서 산출물을 기한 내 제출 할 수 있었습니다.

image6-1
[그림5] Genian Insights E 보안기능확인서(국가사이버안보센터)

4. 지니언스에 오기전에 어떤업무를 하셨는지 궁금해요~

- 방지환 책임 : 정보보호 제품 인증 업무(CC인증, GS인증 등)를 주로 해왔고, ALM(Application Lifecycle Management) 연관된 QA, 재고관리를 다년간 했습니다.

- 김용학 전임 : 대학교에서 정보통신학을 전공하였고, 한국정보보호산업협회(KISIA)에서 주최하는 보안교육을 2개월동안 수강 및 우수한 성적으로 수료하여 지니언스에 취업연계까지 하게 되었습니다.

5. 지니언스에서의 문화는 어떤것이 가장 만족스러운가요?

- 방지환 책임 : 동호회 활동이 가장 만족스러운데요. 저는 사내 스크린골프 동호회에 가입하여, 골프에 대한 관심을 키우고 있는 중입니다. 한 달에 1회 정도 회사 근처의 스크린골프장에서 동호회 회원들과 같이 친목을 도모하고, 업무적으로 도움을 받아야 할 때 조금 더 편하게 다가갈 수 있었습니다.

- 김용학 전임 : 사내 카페테리아가 마련되어 있어, 양질의 차(Tea)를 무료로 매일 즐기고 있습니다. 카페의 매니저님께서 내려주시는 에스프레소는 스타**의 커피보다 훨씬 맛이 좋습니다.

그리고, 저는 사내 지니FC(풋살)동호회에 가입하여 꾸준히 활동하고 있습니다. 풋살 동호회를 통해서 체력 증진을 할 수 있었고, 풋살 동호회 회원들과 친목을 도모할 수 있어서 매우 만족합니다.

6. 지니언스만의 차별화된 업무 스타일이 있으면 소개 부탁 드려요

- 방지환 책임, 김용학 전임 : 먼저 업무 스타일보다도 유연 근무제를 통해서 Work & Life Balance 를 적절히 조절할 수 있었고, 재택 근무를 통한 탄력적인 업무를 추진할 수 있었습니다."이동범 대표님, 김계연 연구소장님 감사합니다."

지니언스는 Agile 개발 방법론을 도입하여 트렌드에 기민하게 반응하고, 방향성이 맞지 않는 부분에 대해서는 빠른 피드백을 주고받고 해결합니다. 또한, 협업도구(Jira, Slack, Notion, WIKI, ZOOM, Trello 등)를 적극 활용하여 필요 없는 회의를 줄이고 이미 알고 있는 노하우에 대해서는 빠르게 공유되어 효율성이 극대화 됩니다.

7. 향 후 인증파트에서 꼭 이루고 싶은 일이나 목표가 있을까요?

- 방지환 책임 : "보안업계 인증 주니어 인큐베이터"
.. 정보보호 제품 개발업체는 많이 생겨나고 있습니다. 하지만, 최근들어 인증관련된 주니어 인력들이 거의 보이지 않는다. 활발한 성격이나 문제를 반드시 해결하려는 책임감을 가진 인재가 있다면, 개인적으로 알려줄 의향이 있습니다. 인증파트에 대해서 막연한 겁을 먹지 말고, 도전했으면 좋겠습니다.^^

- 김용학 전임 : "인증파트계의 손흥민"
..정보보호 제품의 트렌드가 지속적으로 바뀌고 있는데, 이를 따라가기 위해서 보안요구사항이나 규정을 항상 파악하기 위해 노력하고 있습니다. 또한, 전문적인 보안지식도 필요하기 때문에 지금보다 더 많은 보안관련 학습을 계획하고 있습니다.

.. 그리고, 인증을 처음시작하는 기업에서는 인증의 벽이 높다고 들었습니다.
저도 처음에는 인증에 대해서 잘 몰랐지만, 많은 경험을 통해서 인증 프로세스를 이해했습니다.

꿀팁을 드리자면, 이해관계자와의 협업을 위한 커뮤니케이션이 중요하다고 생각합니다. 최근 보안기능확인서, 신속확인제도 등이 계속적으로 생겨남으로써 인증파트에 대한 인력은 필수적이라고 생각합니다.