정보보호제품 평가인증 전 제품 확대

 국내 정보보호시스템 평가기준이 국제 표준(CC)인 ‘정보보호시스템공통평가기준’으로 일원화된다. 또한 현재 6개로 제한된 정보보호시스템 평가 인증 대상이 보안 관련 전 제품으로 확대된다.

 지금까지 인증을 받지 못했던 침입방지시스템(IPS)은 물론이고 안티바이러스백신, IPv6용 보안 솔루션 등 그동안 평가인증 대상에서 제외돼 국가 공공기관 등에 납품하는 데 제약을 받아온 솔루션의 도입이 활발해질 전망이다. 현재 인증대상은 침입차단시스템과 침입탐지시스템, 가상사설망, 지문인식시스템, 운용체계보안시스템, 스마트카드 등 6개 제품군으로 제한돼 있다.

 12일 정통부는 코엑스에서 ‘정보보호시스템 평가·인증제도 개선방안’ 공청회를 열고 이 같은 내용을 골자로 ‘정보화촉진기본법 제15조(정보보호시스템에관한기준고시등)’와 ‘시행령 제16조(정보보호시스템의보완등)’의 개정안을 발표했다.

 정부는 내년 국제상호인정협정(CCRA) 가입을 위해 국내 자체 평가기준이었던 K기준을 폐지하고 국제 표준에 맞는 기준으로 평가대상을 전면 확대함으로써 현 제도에서 나타난 미비점을 개선·보완하기 위해 정보화촉진기본법을 개정하게 됐다고 설명했다.

 이번 개정안은 △정보보호시스템공통평기기준으로 일원화 △평가대상 전면 확대 △인증서 유효기간 폐지 △평가보고서 및 인증보고서 공개 등을 주요 내용으로 하고 있다.

 정통부는 이번 개정을 통해 K시리즈로 알려진 ‘정보통신망침입차단시스템평가기준’ 및 ‘정보통신망침입탐지시스템평가기준’을 ‘정보보호시스템공통평가기준’으로 일원화한다. 또 CCRA에 가입한 국가들과 마찬가지로 정보보호제품 평가 인증서 유효기간을 폐지한다. 그동안 국내 자체 기준에 의해 발급된 인증서는 3년의 유효기간이 있었으나, 이번 개정으로 평가 신청인이 원하는 경우에는 평가 보고서 열람이 가능해지고 사용자의 제품 선택을 지원하기 위해 홈페이지 등을 통해 인증보고서가 공개된다. 이와 함께 평가제출물 작성언어 역시 국제 기준에 맞춰 한글에서 한글 및 영어로 확대된다.

 한편 정통부는 이번 공청회의 의견수렴 결과를 반영해 ‘정보보호시스템 평가인증 지침’ 및 ‘정보보호시스템 공통평가기준’을 다음달 확정해 개정, 고시할 계획이다.

  김인순기자@전자신문, insoon@