앞으로는 K4등급이 아닌 K3등급이나 K2등급을 획득한 정보보호시스템도 정부·공공기관용으로 공급할 수 있게 됐다.
그동안 침입차단시스템(방화벽)이나 침입탐지시스템(IDS) 등 정보보호시스템을 정부·공공기관에 공급하기 위해서는 K4등급을 받아야 하는 것이 업계나 수요처의 불문율로 여겨졌으나 최근 국가정보원·정보통신부 등 기관에서 K3등급 또는 K2등급을 받아도 공급할 수 있다고 밝힘에 따라 평가등급에 따른 제품 활용의 활성화와 평가제품 회사의 다양화를 꾀할 수 있게 됐다.
특히 지난 10일에는 국정원·정통부·KISA·리눅스보안업계 대표가 모여 가진 ‘리눅스OS 응용제품평가간담회’에서 리눅스 기반 정보보호시스템의 경우 K2등급까지 평가를 받을 수 있을 것이라고 잠정 결정됨에 따라 리눅스 기반 제품도 정부·공공 분야에서 사용할 수 있게 됐다.
국정원의 한 관계자는 “관련법규 어디를 봐도 K4등급 제품만 국가기관에서 사용할 수 있다는 내용은 없다”며 “그동안 K4등급 제품만 국가기관에서 사용할 수 있다는 것은 잘못 알려진 것”이라고 밝혔다.
실제로 국가정보통신보안지침에도 ‘가급’ 보호등급의 자료를 취급하는 국가 전산망을 외부망과 연동하고자할 경우에는 K4등급 이상의 평가를 받아야 한다고 명시돼 있다. 자료의 기밀성이나 중요도에 따라 K3등급이나 K2등급 제품도 국가기관에서 사용할 수 있다는 게 정부관계자들의 해석이다.
이에 대해 정보보안 업계에서는 “지침상에서는 제품을 공급할 모든 분야에 꼭 K4등급 이상을 받아야 한다는 강제조항은 없을지라도 지금까지 제품을 사용하는 수요처에서는 K4등급 이상의 제품을 고집해 왔기 때문에 하루아침에 K3등급이나 K2등급을 받은 제품을 정부기관에 공급하기는 힘들다”며 “정부기관이 제품의 활용처에 따라 다른 등급의 제품을 사용할 수 있도록하는 제도적인 지침이나 장치가 마련돼야 할 것”이라고 지적했다.
이와 관련, 국정원의 한 관계자는 “정보보호시스템을 평가등급 및 용도별로 다양하게 활용할 수 있게 하기 위해 각 부처 및 기관의 보안담당관들을 대상으로 한 교육을 정기적으로 실시할 것을 검토하고 있다”고 밝혔다.
한편 현재 K4등급을 획득하기 위해 요구되는 제출물은 전체 16종 가운데 15종, K3와 K2등급은 각각 12종과 10종이다.
<주문정기자 mjjoo@etnews.co.kr>