그동안 정보보호 업체들은 국가정보원으로부터 K등급 인증을 받은 제품의 기능이나 성능이 변경될 경우 그때마다 재평가·추가평가 등을 거쳐야 했으나 앞으로는 분기 단위로 변경신고를 할 수 있게 됐다.
13일 정보보호 관련업계에 따르면 국가정보원은 최근 K등급 인증을 받은 방화벽 및 침입탐지시스템(IDS) 개발업계 관계자들과 간담회를 갖고 인증제품에 대한 사후관리 방침을 현실에 맞게 조정키로 했다.
국정원은 정보보호 제품의 특성상 기능·성능이 자주 변경돼 그때마다 변경에 따른 재평가를 신청하기 어렵다는 업체들의 주장을 수용, 업체들이 분기 단위로 변경사항을 국정원에 보고하면 이를 분석해 변경 정도에 따라 재평가·추가평가·인증효력유지 등을 다양하게 신청할 수 있도록 했다. 이에 따라 정보보호 업체들은 인증받은 제품에 대한 사후관리를 효율적으로 할 수 있게 됐다.
국정원이 이처럼 정보보호 제품에 대한 사후관리 방침을 변경한 것은 지난 7월 정보보호시스템 평가·인증지침이 개정된 데 따른 조치로 풀이된다. 개정된 평가·인증지침에 따르면 한 번 평가인증을 받은 정보보호 제품은 기능상 큰 변화가 없으면 다시 평가받지 않아도 된다.
국정원은 이와 관련, 지난달 한국정보보호진흥원과 공동으로 K등급 인증을 받은 제품에 대해 설치기관을 중심으로 사후점검을 실시한 결과 방화벽은 2개 기관, IDS는 5개 기관에서 소프트웨어를 무단으로 변경한 것으로 드러남에 따라 관련 업체들에 자율적으로 보고해줄 것을 당부했다.
국정원의 이같은 조치에 대해 정보보호 업체의 한 관계자는 “정보보호 제품은 기능변화가 빨라 맨처음 평가신청을 할 때와 평가를 마칠 시점에도 기능상 변화가 많다”며 “변경에 따른 재평가·추가평가 신청기간을 현실적으로 조정한 것은 환영할 만하다”고 말했다.
<박영하기자 yhpark@etnews.co.kr 서동규기자 dkseo@etnews.co.kr>