Home > 전체기사
공공시장 진입의 첫 관문 GS인증, 보안 SW 분야에서의 명암
  |  입력 : 2020-06-03 16:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
소프트웨어분야 대표 정부 인증인 ‘GS(Good Software) 인증’, 보안 SW 분야 현황 점검
“인증 취득시 다양한 혜택 얻지만, 버전별 별도 인증에 따른 비용·시간 부담 크다”


[보안뉴스 원병철 기자] 공공분야에서 대표적인 인증으로 꼽히는 GS(Good Software) 인증은 공공조달시장, 특히 나라장터 종합쇼핑몰에 제품을 등록하기 위해서 반드시 취득해야만 하는 인증 중 하나다. 원래 나라장터에 등록하기 위해서는 CC(Common Criteria) 인증과 GS인증을 모두 취득해야 했지만, 2019년 공공분야 수의계약 대상으로 정보보호 인증제품이 추가되면서 둘 중 하나만 취득하더라도 등록이 가능해졌다.

[이미지=utoimage]


소프트웨어 분야의 대표적 공공인증 중 하나인 GS(Good Software) 인증은 국내 대부분의 소프트웨어(SW) 개발업체가 중소기업 혹은 벤처기업으로 우수한 제품을 만들어도 영업 및 마케팅이 힘들고, 그로 인한 꾸준한 품질 및 안전성을 제공하기 힘들다는 점을 해소하기 위해 만들어졌다. 이에 산업체를 중심으로 소프트웨어 제품의 품질향상을 위한 시험·인증제도의 필요성이 제기되어 왔다.

이에 정보통신부(현 과기정통부)는 소프트웨어산업진흥법 제13조, 동법 시행령 제9조, 제10조 등 관련 법령을 마련하고, 정보통신부장관 고시를 통해 2000년 9월 한국전자통신연구원(ETRI)에 제3자 시험·인증기관으로 SW시험센터를 설립했으며, 2001년 한국정보통신기술협회(TTA)로 조직을 이관했다. 이어 2007년 한국산업기술시험원(KTL)도 GS인증 시험기관이 되면서 현재 TTA와 KTL 두 기관에서 GS인증 시험 및 인증을 하고 있다.

GS인증제도는 문서심사만으로 인증을 부여하는 제도와 달리 고객이 사용하게 될 실제 운영환경의 테스트베드를 갖춰, 철저히 제품(프로그램, 제품설명서, 사용자설명서) 품질을 인증하는 제도다. 시험·인증 대상은 일반 패키지 소프트웨어부터 보안 소프트웨어, ERP, CRM 등 기업용 소프트웨어에 이르기까지 다양하며, 프로그램뿐만 아니라 사용자 설명서를 시험·인증대상에 포함시켜 제품을 평가하고 있다. GS인증 시험은 ISO/IEC25023, 25041, 25051 국제표준을 기반으로 기능성, 신뢰성, 사용성, 효율성, 유지보수성, 이식성 등에 대한 시험을 수행한다.

GS인증, GS인증제품 우선구매제도로 우뚝 서
GS인증제도가 뭔가 특별한 시험이나 서비스를 제공하지 않음에도 불구하고 많은 소프트웨어 기업들이 앞다퉈 인증을 받는 이유는 바로 GS인증 효과가 뛰어나기 때문이다. 우선 과기정통부는 GS인증이 품질개선과 비용절감에 도움을 주는 것은 물론 홍보 및 마케팅 측면에서 큰 도움이 된다고 설명한다. 하지만 기업들이 GS인증을 선택하는 가장 큰 이유는 바로 공공분야에 제품을 납품할 수 있다는 점이다.

2020년 GS인증을 진행한 한 기업 담당자는 “개발 제품에 대한 신뢰성 확보를 위해서는 자체 테스트만으로는 부족했으며, 공인된 기관에서 검증된 방법으로 진행하는 제품 시험 테스트가 필요하다고 판단했다”면서, “게다가 GS인증은 공공기관 등에서 우선구매 대상으로 지정되는 등 다양한 제도적 혜택이 많아 선택했다”고 답했다.

실제로 GS인증은 조달청 제3자 단가 계약 체결과 등록(조달 법령 개정, 2004.8)과 GS인증제품 우선구매제도를 시행하고 있다. 아울러 중소기업청 성능인증시성능검사 면제와 소프트웨어 기술성 평가 면제 및 공공SW사업자 선정 평가시가산점 부여 등 다양한 혜택을 받고 있다.

하지만 가장 중요한 것은 바로 GS인증제품 우선구매제도라고 할 수 있다. 정부는 공공시장 진입에 어려움을 겪고 있는 국내 중소SW기업들의 판로 지원을 위해 GS 인증을 획득한 SW제품에 대해서 공공기관 우선구매제도를 시행하고 있다.

정보통신부(현 과기정통부) 우선구매제도와 중소기업청(현 중소벤처기업부) 우선구매제도가 있으며, 두 제도 모두 법적근거(중소기업진흥 및 제품구매 촉진에 관한 법률/시행령, 중소SW기업의 GS인증제품 우선구매 운영규정)에 따라 우선구매지원요청서를 제출할 수 있다.

과기정통부와 중소벤처기업부는 해당 공공기관에 우선구매를 요청할 수 있으며, 중소SW기업은 SW공제조합에 GS인증제품에 대한 성능보험을 청약할 수 있다. 성능보험제도는 GS인증을 받은 제품이 공공기관에 납품된 후 성능저하로 발생하는 계약상의 손해를 배상해주는 제도다.

GS인증, 인증 소요 기간과 비용에서 지적 받아
현재 GS인증은 총 6,257개(SWIT 기준) 소프트웨어가 부여받았다. 다만 SW 버전별로 취득하는 인증의 특성상 정확한 소프트웨어의 숫자라고 보기는 어려운 상황이다. 이게 무슨 말인가 하면, 소프트웨어는 하드웨어와 달리 변경이 가능한 특성 때문에 버전업 혹은 업그레이드가 자주 일어난다. 특히, 보안 소프트웨어는 갈수록 늘어나고 발전하는 멀웨어(악성 소프트웨어)를 상대해야 하는 특성 때문에 일반 소프트웨어보다 더 빠르고 많이 버전업이 필요하다. 문제는 이렇게 버전업이나 업그레이드를 통해 변화된 소프트웨어는 다시 GS인증을 받아야 한다는 점이다.

실제로 정보통신산업진흥원(SWIT)이나 한국정보통신기술협회, 한국산업기술시험원 홈페이지에서 등록된 GS인증 SW목록을 살펴보면 V1.0이나 V2.0, 혹은 Ver.2.0 등의 표시를 볼 수 있는데, 이는 해당 소프트웨어의 버전 표시다. 이와 관련해 많은 기업들이 어려움을 토로하고 있다. 한 보안 소프트웨어 기업은 “보안 소프트웨어는 고객별 맞춤 제작이나 유지보수가 빈번한데, 형상이 변경될 때마다 새로 인증을 받아야 하는 것은 업체 입장에서는 부담이 크다”면서, “이 때문에 버전업 등 같은 소프트웨어의 경우 내부 알고리즘 변경을 허용하거나 인증 평가기관의 세분화된 지원 등으로 기업 부담을 덜어줬으면 좋겠다”고 아쉬워했다.

그렇다면 인증기관과 인증비용은 얼마나 들까? GS인증을 진행한 업체들이 가장 어려움을 피력하는 부분도 사실 이 부분이다. 우선 인증기간의 경우 보통 2개월에서 3개월은 소요되는 것으로 확인됐다. 물론 이는 상황에 따라 다르며, 인증과정에서 수정이 있는지 없는지가 가장 크게 영향을 미치는 것으로 확인됐다. 특히, 올해 들어서는 코로나19의 영향 때문인지 신청부터 획득까지 4~5개월이 걸리는 것으로 조사됐다.

기업 규모가 커서 별도의 인증팀을 보유한 한 기업은 “인증 제품에 대한 수요가 많아 대기기간이 3개월 이상 걸릴 때도 있는데, 인증에 얼마나 시간이 걸리는지 일정 예측이 쉽지 않아 필요한 시기에 맞춰 인증을 진행할 수 있느냐가 가장 큰 과제”라고 지적했다.

또한, 지난해 처음 인증을 진행했던 한 보안업체는 “인증을 처음 진행해본 탓인지 인증신청부터 통과하는 데만 7~8개월이 소요됐으며, 인증도 몇 번 떨어져 비용만 해도 2,000만 원 이상 들었다”며, “기간과 비용도 부담이지만, 연말까지 GS인증을 취득해 공공시장에 등록한 후, 2020년 공공시장에서 영업하려는 계획이 차질을 빚어 큰 손실을 봤다”고 아쉬워했다.

실제로 업체들이 한 목소리로 지적하는 문제는 바로 인증신청부터 심사, 결과까지 걸리는 시간이었다. 특히, 인증비용은 매년 상승하면서도 인증 대기시간은 줄어들지 않는 점도 문제였다. 한 기업에서는 “인증 시간이 오래 걸린다면 인증기관에서도 직원을 좀 더 채용해 시간을 줄여주거나, 아니면 국가에서 인증기관을 더 확대하는 게 맞다”면서, “바로 인력 충원이나 기관 확대가 어렵다면 적어도 정확한 인증 프로세스와 걸리는 시간이라도 정확하게 고지해줬으면 좋겠다”고 아쉬워했다.

이와 관련해 한 기업은 “홈페이지에서 진행상황을 조회할 수 있으면 좋겠다”면서, “예를 들면 기능시험 진행 중이나 시험 완료, 성능 테스트 준비 등 상세 프로세스별로 볼 수 있으면 도움이 될 것”이라고 말했다.

비용에 대해서도 업체별로 의견이 다르긴 했지만, 1회 비용보다는 버전업 등의 이유로 여러 번 받을 경우 부담이 커진다고 하는 경우가 많았다. 10여개의 제품으로 GS인증을 획득한 한 기업은 2016년부터 2019년까지 4년간 인증비용으로만 2억원이 지출됐다고 할 정도로 인증 숫자가 늘면 비용이 만만찮다고 설명했다.

GS인증, 소프트웨어의 공신력 잣대로 활용
그럼에도 불구하고 GS인증에 대한 기업들의 평가는 나쁘지 않았다. 연유야 어찌됐건 힘겹게 GS인증을 획득할 경우 얻을 수 있는 것이 분명했기 때문이다. 특히, GS인증은 이제 공공분야에서는 ‘무조건 있어야 하는 인증’으로 자리매김했기 때문에 ‘+α’가 아닌 ‘기본 항목’이 됐다는 설명이다.

“GS인증이 공공기관 우선구매와 구매자 면책제도, 우선도입 제품지정 등의 혜택으로 공공조달 시장 진입을 위해서 필요한 것은 사실이지만, 회사 차원에서도 소프트웨어 제품의 공신력 없이는 기업과 개인에 대한 판로를 개척하기 어려운 점이 있으며, 제품 경쟁력을 위한 상위인증 취득을 위해서도 선행되어야 할 인증이라고 생각합니다.”

아울러 GS인증은 제품을 연구하는 개발자 관점이 아닌 실제 사용자 입장에서 필요한 기능이나 오류처리 방법 등에 대한 조언을 받을 수 있는 기회라는 답변도 있었다. 어찌 보면 아무것도 아닌 문제지만, 소프트웨어를 사용하는 사용자 입장에서는 큰 문제가 될 수도 있기 때문이다.

게다가 공공이 아닌 민간에서 GS인증을 찾는 경우도 있다. 역시나 ‘+α’가 아닌 소프트웨어의 공신력을 판단하는 기준으로 GS인증을 확인하는 기업도 있다는 얘기다. 물론 민간 기업의 경우 인증보다는 제품의 기능과 품질, 서비스 등에 더 관심이 있지만, GS 인증 유무를 통해 해당 제품의 기본적 성능에 대한 판단을 할 수 있다는 것. 실제로 ‘2019년 SECON & eGISEC’에 참가했던 한 기업은 “부스를 방문한 민간기업 담당자가 가장 먼저 물어보는 것이 조달등록과 GS 인증, CC 인증 획득여부였다”고 말했다.

2020년 주목할 만한 ‘GS인증 보안솔루션’
그렇다면 2020년 GS 인증을 취득한 보안 솔루션 중 주목할 만한 제품은 어떤 것들이 있을까? SW산업정보시스템(SWIT)에 따르면 2020년 GS 인증을 취득한 솔루션은 총 730개로 이중 약 100여개의 제품이 ‘보안’ 키워드를 담고 있다. 그중에서도 △그린존시큐리티 △엘세븐시큐리티 △위젯누리 △이스트시큐리티(업체명 가나다 순) 등 4개 업체는 저마다의 독특한 기술력으로 두각을 나타내고 있다.

그린존시큐리티 ‘GZPKI’
그린존시큐리티의 공개키 기반 PKI(Public Key Infrastructure) 솔루션인 ‘GZPKI v2.0’은 안정적이고 강화된 사용자 인증을 위해 구현한 PKI 시스템이다. CA(인증기관) 서버, RA(등록기관) 서버, 사용자 웹 애플리케이션 등으로 구성되어 있다. GZPKI v.2.0 서버는 사용자와 시스템 간 암호화 통신으로 인증정보 보안성을 강화했으며, 만료 예정인 인증서의 경우 경고 메일을 자동으로 발송하고 인증서 해지 및 CRL 발급 자동화를 통해 편의성을 높인 것이 특징이다. 또한, ECDSA, DSA, SHA256 등 다양한 알고리즘을 적용했으며, PKI 국내외 기술규격을 준수했다.

엘세븐시큐리티 ‘ImageOCR&OCR Filtering’
엘세븐시큐리티의 이미지 개인정보 추출 및 차단 솔루션(ImageOCR&OCR Filtering V2.0)은 홈페이지 게시판을 통해 유출될 수 있는 개인정보를 차단하는 제품이다. 사용자가 홈페이지 게시판에 글을 업로드 할 때 업로드하는 문서내 텍스트는 물론이고 문서내 이미지에서 개인정보의 유무를 판단해 개인정보가 있을 경우 차단하는 기능을 갖고 있다. 또한, 사용자가 게시판의 글을 다운로드 받을 때에도 개인정보의 유출을 완벽히 차단할 수 있다.

위젯누리 ‘랜섬디펜스&소프트필터’
위젯누리는 엔드포인트 보안 솔루션을 시작으로 지능형 화이트리스트와 소프트웨어 인증 기반 솔루션을 전문으로 개발·배포하는 보안 솔루션 기업이다. 위젯누리의 독자적인 기술인 지능형 화이트리스트는 정적 분석, 동적 분석, 휴리스틱 분석, 사회공학적 분석 등 4가지 분석을 거친 후 소프트웨어의 신뢰도를 평가한다. 이를 통해 자동화된 화이트리스트를 구성해 악성, 불법 소프트웨어를 원천적으로 차단할 수 있는 기술을 가지고 있다. 현재 랜섬웨어 사전 차단솔루션 △랜섬디펜스, 소프트웨어 자동관리 솔루션 △소프트필터, 디바이스 대여 관리 솔루션 △시큐어 디바이스를 서비스하고 있으며, 올해 하반기에 비대면 기기의 △키오스크 △디지털 사이니지를 포함한 무인자동화기기의 장애 진단 및 지능형 화이트리스트를 통해 제어할 수 있는 △스마트체커의 출시를 계획하고 있다.

이스트시큐리티 ‘알약 내PC지키미’
이스트시큐리티는 사용자 수 1위 국민백신 알약을 통해서 10년 이상 쌓아온 악성코드 대응 기술과 노하우를 기반으로 자체 개발한 인공지능(AI) 기술이 접목된 신제품을 잇달아 출시하고 있다. 위협 인텔리전스 솔루션 Threat Inside 및 엔드포인트 위협 대응 솔루션 알약 EDR(Endpoint Detection and Response)의 출시와 함께 차세대 엔드포인트 보안 역량을 지속적으로 고도화해 나가고 있다. 이스트시큐리티는 알약 백신(알약, 알약 서버, 알약 리눅스, ASM) 전체 버전, 알약 내PC지키미 전체 버전, 알약 PMS(패치관리) 전체 버전, 알약 EDR 전체 버전, 랜섬쉴드(엔터프라이즈, 클라우드) 전체 버전, 시큐어디스크 전체 버전, 인터넷디스크 전체 버전 등 대부분의 제품이 GS 인증을 획득했다.

[GS 인증의 제도적 혜택]
-조달청 제3자 단가계약 체결 및 나라장터 등록을 통한 구매기관의 수의계약 지원
(국가를 당사자로 하는 계약에 관한 법률 시행령)
-GS 인증제품을 공공기관 우선구매 대상 기술개발 제품으로 지정
(중소기업제품 구매촉진 및 판로지원에 관한 법률)
-우선구매 대상 기술개발제품에 대한 구매자면책제도 및 성능보험제도
(중소기업제품 구매촉진 및 판로지원에 관한 법률)
-행정 및 공공 정보화사업 구축·운영 시 우선 도입 대상 제품으로 지정
(행정기관 및 공공기관 정보시스템 구축·운영 지침, 행정안전부 고시)
-공공기관에서 상용SW 구매 시 SW기술성 평가 우선반영 및 대체
(소프트웨어 기술성 평가기준, 과학기술정보통신부 고시)
-GS 인증획득 시 상용SW 기술성 평가기준에 의거, 공급업체 지원의 제품 신뢰도 평가항목 포함(소프트웨어 기술성 평가기준, 과학기술정보통신부 고시)
-분리발주 대상 SW 요건으로 GS인증획득 제품 지정
(분리발주 대상 소프트웨어, 과학기술정보통신부 고시)
-소프트웨어사업 하도급계약의 적정성 판단시 가점(2점) 부여
(소프트웨어사업의 하도급 승인 및 관리 지침, 과학기술정보통신부 고시)
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)