국가기관 보안솔루션 국정원 보안 검토 의무화

 앞으로 국가기관에 구축되는 국내외 모든 정보보호 솔루션은 국제공통평가기준(CC) 평가인증을 받은 후 국가정보원의 ‘보안성 검토’를 반드시 거쳐야 한다. 또한 보안성 검토의 절차가 대폭 간소화된다.

 국정원은 정보보호 기능이 있는 IT시스템을 모두 보안성 검토 대상 품목에 포함시키는 것을 골자로 ‘국가용 정보보호 시스템 보안성 검토지침’을 개정할 예정이라고 19일 밝혔다. 본지 3월 24일 1면 참조

 국정원 관계자는 “CC 평가인증과 보안성 검토 제도의 역할에 대해 혼란과 오해가 생겨 일부 공공기관이 보안성 검토를 거치지 않은 제품을 무분별하게 도입하는 등 문제가 발생했다”며, “이번 개정안 마련으로 모든 보안 기능이 첨가된 솔루션에 대한 보안성 검토가 이뤄져 국가 정보통신망 보안이 강화될 것”이라고 말했다.

 개정안에 따르면 국내 기업은 물론이고 다국적 기업의 보안 솔루션은 CC 평가인증을 받은 후 보안성 검토를 반드시 거쳐야만 국가 기관에 납품될 수 있다. 그동안 K4기준 인증으로 국내 공공기관에 제품을 납품할 수 없었던 다국적 기업들도 해외에서 CC 평가인증을 받은 후 국정원의 보안성 검토만 거치면 공공기관 납품이 가능하다.

 또 방화벽과 침입탐지시스템(IDS), 가상사설망(VPN) 등 6개 보안 제품에 국한됐던 보안성 검토 대상도 40여개 전 정보보호 제품과 보안기능이 포함된 IT시스템으로 확대된다.

 국정원은 보안성 검토 절차를 간소화하기 위해 기존 시험평가를 적합성 시험으로 전환키로 했으며 적합성 시험의 구체적인 항목과 방법은 국가보안연구소가 정하도록 했다.

  김인순기자@전자신문, insoon@