정보통신부는 정보보호시스템 평가시 국제기준(국제공통평가기준, CC:Common Criteria)을 국내기준으로 수용하기 위해 정보보호시스템 평가·인증지침을 개정하는 한편 공통평가기준을 제정·고시, 국제공통평가기준 기반의 평가를 시행한다고 30일 밝혔다.본지 6월29일자 1면 참조
국제공통평가기준은 선진국들이 평가결과를 상호인정하기 위해 정보보호시스템 평가시 채택하고 있는 국제기준으로, 국내 평가기준으로 도입되면 별도의 제품별 평가기준 제정 없이도 다양한 정보보호 제품을 평가받을 수 있다. 또 향후 평가결과를 상호인정하는 협정에 가입하게 되면 국내에서 평가받은 정보보호제품을 수출할 때 외국에서 별도의 평가를 받아야 하는 문제를 해결할 수 있다.
이번에 개정된 정보보호시스템 평가·인증지침에서는 △국제공통평가기준 기반의 평가를 위한 근거조항 △보호프로파일을 평가·인증하는 절차와 국가기관용 정보보호제품에 사용되는 보호프로파일에 대한 조항 △인증받은 제품이 경미하게 변경되는 경우 별도의 평가 없이 인증서의 효력을 유지시켜 업체의 평가부담을 완화시키는 등의 내용을 담고 있다.
또 신규로 제정된 공통평가기준은 한글판과 영문판을 모두 고시하되, 도입초기인 점을 고려해 올해에는 침입차단시스템·침입탐지시스템·가상사설망에 한해 적용된다. 공통평가기준에 의한 평가는 8월부터 시행될 예정이다.
공통평가기준을 도입하더라도 기존 제품별 평가기준의 효력도 그대로 유지되므로, 기존 평가를 시행중인 침입차단시스템과 침입탐지시스템은 제품별 평가기준과 공통평가기준 중에서 선택적으로 평가를 받을 수 있다.
<박영하기자 yhpark@etnews.co.kr>