'네트워크장비·보안USB', 보안기능시험결과서만으로 공공기관 도입 가능

'네트워크장비·보안USB', 보안기능시험결과서만으로 공공기관 도입 가능

국가기관 보안 강화를 위해 주요 보안제품 도입 체계가 빨라진다. 네트워크 장비, 보안USB 등 5개 제품 등은 국제공통기준(CC) 인증 대신 보안기능시험결과서만으로 국가기관에서 도입이 가능해진다.

보안 기업은 국내 CC 인증을 받기 위해 소요된 시간을 최소 절반 이상 줄일 수 있게 되며, 수요 기관은 제품 도입이 수월해질 것으로 기대된다.

국가정보원은 30일 서울과학기술회관에서 '보안적합성 검증 제도운영 변화'에 대한 설명회를 열고 CC 인증 개선 사항 등을 발표했다. 이번 개선 핵심은 주요 보안 제품에 대한 CC 인증의 보안기능시험결과서 전환이다. 대상 제품군은 네트워크 장비, 보안 USB, 가상화 관리제품, 자료 유출 방지, 망간 자료 전송 등 5종이다. 네트워크 장비는 새롭게 도입 요건이 지정된다. 보안 USB, 가상화 제품 등 4종은 기존 CC 인증 필수 항목에서 보안기능시험결과서로 전환된다.

가상화 관련 제품은 '가상화 관리제품' '가상화 제품' 두 가지로 나눠 관리한다. 가상화 관리제품은 PC, 서버 가상화 기능 제공을 뜻한다. 해당 제품군은 CC 인증 대신 보안기능시험결과서를 제출해야 한다. 가상화 제품은 하이퍼바이저 기술을 제공하는 것으로 규정하며, CC 인증을 받아야 한다.

국정원은 검증 강화와 공공기관의 신속한 제품 도입을 위해 보안기능시험결과서를 통한 선 검증, 후 도입 체계로 변경을 실시한다.

국가·공공기관은 네트워크 장비나 정보보호 제품을 도입할 때 반드시 국정원의 '보안 적합성 검증'을 받는다. 주요 기밀과 정보를 취급하는 국가·공공기관이 믿고 써도 되는 제품인지 검증하는 제도다. 국정원은 국가·공공기관이 도입하는 정보보호시스템 유형을 24개로 나눠 CC인증 또는 암호모듈 검증 등 사전 인증을 획득하도록 한다. CC인증 등 국정원 보안 적합성 검증에 오랜 시간이 소요돼 업계 원성이 높다.

국정원은 업계 요구 사항, 보안성 강화 중심으로 주요 보안 제품에 대해 CC 인증 대신 보안기능시험결과서 제출 개선에 착수했다. 이번 개선으로 향후 수요 기관은 신속한 제품 도입이 가능하며, 기업은 CC 인증을 받기 위한 시간·비용 등을 절약할 수 있을 것으로 기대된다. 수요 기관의 신속한 확인을 돕기 위해 검증 제품은 '검증필 제품목록'에 등재한다. 현재는 국정원 홈페이지를 통해 '데이터 영구삭제' 품목만 게시하고 있다.

국정원 관계자는 “검증필 제품 목록은 국가 공공기관만 접속 가능한 정보공유시스템으로 이동해 게시할 예정”이라고 밝혔다.

이번에 발표한 5개 품목 가운데 2020년 네트워크 장비, 보안 USB, 가상화 관리 3종을 먼저 보안기능시험결과서 전환 시범 도입한다. 2021년 자료 유출 방지, 2022년 망간 자료 전송 제품까지 확대한다.

국정원은 CC 인증 개선에 따른 혼란을 막기 위해 전환 결정 품목에 대해 기존 CC 인증 유효 기간이 남아 있는 품목은 인증 만료 시까지 그대로 활용하기로 했다.

정영일기자 jung01@etnews.com