앞으로 한 번 평가인증을 받은 정보보호 제품은 기능상 큰 변화가 없으면 다시 평가받지 않아도 된다. 또 정보보호 제품을 국가 공공기관에 보급할 경우 국가정보원장이 승인한 보호프로파일(PP)을 사용해야 한다.
정보통신부는 28일 과학기술회관에서 공청회를 열어 이같은 내용을 골자로 한 정보보호 평가·인증 지침 개정안을 발표, 오는 7월부터 시행한다고 밝혔다.
정통부는 이번 개정안 가운데 평가대상 항목에 정보보호시스템 외에 보호프로파일을 추가하고 평가기준 항목에 공통평가기준(CC)을 포함시켜 다음달부터 실시될 CC기반 평가제도의 법적 근거를 마련했다.
이와 함께 ‘인증효력유지’ 프로그램을 도입, 이미 인증받은 제품의 기능 변경시 인증기관에 인증효력유지 신청을 할 수 있도록 해 업체들의 재평가에 따른 번거로움을 줄였다. 업체들이 인증효력유지를 신청할 경우 인증기관은 인증효력유지 사항을 검토해 변경승인·재평가 또는 추가평가 여부를 결정하게 된다.
정통부는 CC평가와 관련, 국내의 평가·인증 능력을 감안해 우선 침입차단시스템(방화벽)과 침입탐지시스템(IDS)·가상사설망(VPN) 등과 이들 기능을 갖춘 복합형 제품에 대해 우선 실시하고 점진적으로 대상 품목을 확대해나갈 계획이다. 정통부는 그러나 업체들의 혼란을 감안해 침입차단시스템과 침입탐지시스템에 대해서는 기존 K시리즈 기반의 평가와 병행할 계획이다.
이날 공청회에 참석한 국정원 관계자는 “언제까지라고 확정할 수는 없으나 업체들이 CC기반 평가제도를 충분히 이해하고 평가를 받을 수 있는 준비가 될 때까지 두 가지 평가기준을 모두 적용할 계획”이라고 밝혔다.
<박영하기자 yhpark@etnews.co.kr>