정보통신부는 국제공통평가기준(CC:Common Criteria)을 적용할 정보보호시스템으로 방화벽과 침입탐지시스템(IDS)·가상사설망(VPN) 등 3개 품목을 선정, 7월중으로 고시를 통해 본격적인 시행에 들어갈 계획이라고 26일 밝혔다.
정통부는 현재의 국내 평가·인증 능력을 볼 때 CC기반의 평가를 모든 정보보호 제품군에 적용하기에는 평가인력과 기술수준이 충분치 않아 CC기반의 평가는 방화벽을 비롯한 3개 폼목에 우선 적용한 뒤 점진적으로 확대해 나가기로 했다.
이와 함께 당분간은 CC를 적용하는 국가간에 서로 평가결과를 인정해주는 상호인정협정(CCRA) 가입은 추진하지 않고 국내 평가기준으로만 활용할 계획이다. 이에 따라 국내서 CC에 따라 평가를 받은 제품이라도 CC를 적용하는 다른 나라에서는 이를 인정받지 못하며, 외국에서 CC에 따라 평가를 받은 제품도 국내서 다시 CC기반의 평가를 받아야 한다.
이와 관련, 정통부 관계자는 “CC상호인정협정 회원국으로 등록되려면 일정기간 동안 상호인정협정 회원국의 평가결과를 일방적으로 수용해야 하는 수용국(CCP)의 지위를 거쳐야 한다”며 “CC상호인정협정 가입은 나중에 상황을 보아가며 추진할 계획”이라고 밝혔다.
정통부는 이같은 내용을 골자로 한 CC기반의 정보보호시스템 평가계획을 최근 확정하고 오는 28일 오후 2시 과학기술회관에서 관련 업계를 대상으로 공청회를 실시한다.
정통부는 또 이날 공청회에서 정보보호시스템에 대한 평가·인증 지침 개정안에 대해서도 업계의 의견을 수렴, 개정안에 반영할 계획이다.
<박영하기자 yhpark@etnews.co.kr>