불량 `DDoS장비` 발 못붙인다

 행안부가 다음달 200억원 규모의 분산서비스거부(DDoS) 전용장비를 도입할 예정인 가운데 국정원이 이른바 ‘무늬만 DDoS장비’를 대폭 솎아낼 방침이다.

 28일 공공기관 및 업계 등에 따르면 국정원은 별도 지정제도를 신청한 나우콤, 퓨쳐시스템, 컴트루테크놀로지, 시큐아이닷컴, 한세텔레콤, 닷큐어, 리오레이, 시큐비스타, 시스코시스템즈, 라드웨어, 아버네트웍스 등 11개 업체를 상대로 제품 성능과 기능을 테스트해 내달 행안부 DDoS장비 발주 일자를 1주일여 남기고 시험결과를 발표할 예정이다.

 국정원은 애초 DDoS 전용장비를 조속히 도입하기 위해 이 제도를 추진했으나 지난 7·7 DDoS대란 때 이미 일부 장비가 주저앉았다는 지적이 잇따르면서 합격·불합격 결과에 더해 제품에 표기된 성능과 실제 성능 간의 괴리 가능성이 제기된데 따른 것이다. 현재 국내외 11개 제품이 별도 지정을 신청한 상태다.

 행안부 관계자는 “현재 별도지정 제도를 신청한 업체들을 상대로 테스트를 진행 중이며 결과를 행안부 발주에 앞서 국정원이 발표할 계획”이라면서 “공개수위는 조율 중이지만 개별 전용장비가 제품에 표기된 성능보다 떨어지거나 구현가능하다고 명시한 기능이 작동하지 않는 부분을 일부 공개할 방침으로 안다”고 전했다.

 전문가들은 국정원의 이 같은 방침은 그간 DDoS 대응 차원에서 도입 속도만을 강조하던 관점이 변화한 것으로 분석했다. 별도 지정제도는 현재 공공기관에 보안제품 도입에 필수적으로 갖춰야 할 국제공통평가기준(CC)인증을 받은 장비가 나우콤 하나에 불과해 시급한 대응이 어렵다고 판단해서 도입됐다.

 때문에 공공기관에선 내년까지는 별도지정 시험을 통과한 제품을 도입할 수 있으나 내년 9월부터는 CC인증 EAL2등급 이상을 받은 제품만 구매할 수 있다. 그러나 DDoS장비 도입효과를 고려해 제품의 실제 성능과 기능도 일부 밝힌다는 것이다.

 정보보호업계 관계자는 “기술력 없이 당장 눈에 보이는 200억 시장을 보고 덤비는 업체도 적지 않아 이번 기회로 장비의 적절성이 가려질 것”이라면서도 “다만 테스트의 신뢰성도 담보돼야 한다”고 말했다.

정진욱기자 coolj@etnews.co.kr