미국 국방성과 상무성, 그리고 다수의 민간 업체들이 참여하고 있는 CIS(Center for Internet Security) 위원회에서는 서버급 컴퓨터의 보안 수준을 10 단계로 나타낼 수 있는 평가 시스템을 개발중이라고 한다. 이 평가 시스템을 통하여, 레벨 10의 보안 수준으로 인증된다면, 전자 상거래에서 가상 금고를 지킬 수 있는 수준이 되는 것이고, 레벨 1이라면 낮은 보안 수준으로 인하여, 온라인 사기의 천국으로 볼 수 있다고 한다.

CIS 위원회의 설립자인 SANS Institute사의 연구 부문 이사인 Alan Paller씨는 이러한 평가 시스템을 마련하는 이유는 전자상거래 및 보안에 관심이 있는 업체들이 보안 수준에 관하여 광범위한 벤치마킹을 원하기 때문이라고 한다. 이러한 벤치마킹을 필요로 하는 주요 기관으로는 은행이나 정부 기관이며, CIS의 역할은 이들을 위한 가이드 라인을 만드는 것이라고 한다.

업체들이 자신들의 가상 자산에 대한 보안성을 객관적으로 측정하기 위한 척도로서, 이러한 평가 시스템을 필요로 한다는 것이다. 가까운 미래에 보험 업계는 이른바 해킹 피해에 대한 보험 상품을 개발할 것이며, 이 해킹 보험에서의 보험료는 이 평가에 의해 정해질 것이라고 한다. 또한 Paller 씨는 이러한 보안 평가를 통하여, 미국 정부는 금융 기관에게 특정 보안 수준에 대한 요구 조건을 제시하며, 이를 만족시키지 못하는 기관에 대해서는 책임을 지울 수도 있다고 한다. 현재，CIS 위원회에서는 Solaris，Linux，Windows 2000 운영 체제에 대한 평가 시스템을 만들고 있으며, 가이드라인이 2001년 3월 경에 완성될 것이라고 한다.

하지만, 이러한 정량화된 평가 시스템이 완벽할 것인가에 대해서는 많은 논란이 있다. 어떤 서버 시스템이 얼마나 안전한가를 수치로 표시한다는 것은 매우 어렵다. 보안 회사인 @Stake사의 연구 부문 이사인 Weld Pond씨는 다음과 같이 말하고 있다. 예를 들어 Underwriter Laboratories사는 금고를 깨는데 소요되는 시간으로 금고의 안전성을 수치로 표현하지만, 이러한 방법을 컴퓨터 보안 분야에 그대로 적용하기는 어려울 것이라고 한다. 단지, 컴퓨터 시스템에 얼마나 많은 보안상 결함이 있는지를 객관적인 숫자로 표시하는 것은 좋은 아이디어라고 한다. 또한, 일반적으로 사용자는 자신의 컴퓨터의 보안성을 체크하는 방법을 너무 모르고 있기 때문에 CIS와 같은 곳에서 이를 대신 수행해준다 보안성 향상에 좋은 역할을 수행함에는 틀림없다고 한다.

Pond씨는 평가 시스템의 기술적인 문제점도 지적하였는데, 그는 많은 사용자를 확보하고 있는 유명 소프트웨어에서 일반적으로 알려져 있는 문제점만 발견할 수 있다고 한다. 해킹의 대상이 되는 보안상 결함은 그다지 알려지지 않은 응용 프로그램에 있을 수도 있다고 한다. 만일 이러한 소프트웨어가 수행되고 있는 시스템이 비록 보안 수준 9의 높은 보안성을 인정 받았다 할지라도 해커가 시스템의 보안 결함을 단 한 곳이라도 알고 있다면, 단시간에 침입할 수 있다고 한다.

한편, 2000년 11월 1에 설립된 CIS에는 미국 국방성과 상무성 표준 기술국인 NIST, Intel，VISA International，Chevron，AT&T 등，71개의 민간 기업과 학술 기관，정부 기관이 참여하고 있다고 한다. 하지만, 아직 OS 벤더들은 받아들이고 있지 않다고 한다．이는 OS 벤더들을 참여 시킨다면, 평가 기준 및 방법을 만드는데 있어서 객관성을 확보하기가 힘들어지기 때문이라고 한다.

http://www.yeskisti.net/yesKISTI/Briefing/Trends/View.jsp?cn=GTB2001010010

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.