기존 3년이었던 정보보호 제품 인증서 유효기간이 폐지되는 대신 인증제품에 대한 국가정보원의 관리감독이 대폭 강화되며 기준을 어길 땐 인증서가 취소된다. 우리나라의 국제공통평가기준상호인정협정(CCRA) 가입이 초 읽기에 들어간 가운데 정보보호 제품평가 인증방법이 확 바뀐다.
CCRA란 정보보호제품과 IC카드 등 IT 관련 제품이나 소프트웨어 등의 CC인증서를 회원국 간에 상호인정하는 협약으로, 상반기 우리나라의 가입이 확실시되고 있다.
국정원 IT보안인증사무국은 지난 7일 서울 역삼동 한국기술센터에서 ‘정보보호제품 평가 인증 정책 설명회’를 개최하고, 정보보호 인증제품의 유효 기간을 폐지하는 등 CCRA 가입국 수준에 맞춰 인증평가제도를 대폭 개선키로 했다. 또 2500만원가량으로 단일화돼 있는 정보보호제품의 평가인증 수수료를 차등화하기 위해 근거기준을 마련키로 했다. 기존 K제도 인증은 2008년 말로 그 유효성을 완전히 상실하며, 국가기관에 정보보호제품을 납품하려면 국정원의 보안적합성 검증을 거쳐야 한다.
◇인증제품관리 감독 강화=국정원은 방화벽·침입탐지시스템(IDS)·침입방지시스템(IPS) 등 정보보호제품의 신규인증 시 인증서 유효기간을 전면 폐지한다. 그동안 기업들은 정보보호제품에 대해 인증을 받고, 3년 후에 재인증을 받아야 했다.
국정원은 인증서 유효기간을 폐지하는 대신 인증 제품의 △보증 요구 사항 △기능 요구 사항 △평가되지 않은 절차 △보안에 영향을 주는 대다수의 경미한 변경 등 제품의 주요 변경 사항에 대해 관리 감독을 강화한다. 국정원은 또 인증 제품에 대한 실태 조사를 강화해 제품을 무단 변경하거나 인증받은 부분 외의 것을 허위 광고하거나 허위 사실을 유포하면 인증서를 취소할 방침이다. 국정원은 인증서의 오·남용에 대응하는 한편 새로운 보안 취약성에 적극 대처하지 않을 경우 인증서를 취소한다고 밝혔다.
국정원은 혼돈을 야기하는 제품명 사용도 금지한다. 예를 들어, IDS 제품으로 인증받고는 IPS 기능이 포함됐다며 IPS란 단어를 사용하는 것 등이 주로 단속된다.
◇정보보호제품 평가 수수료 차등화=정보보호제품의 평가 수수료가 고정 체계에서 변동 수수료 체계로 변한다. 국정원은 기존 2500만원가량의 수수료를 제품의 평가 부분이나 복잡성에 따라 차등화한다. 또 우리나라가 CCRA에 가입하면 제품 평가 수수료는 선진국 수준으로 오르며 현실화된다.
이에 따라 기업들은 단순한 제품을 개발해 평가 인증을 받을 때에는 낮은 수수료를 내고 기능이 복잡한 제품을 평가받을 경우에는 많은 수수료를 내는 등 제품 구현에 따라 수수료를 차등적으로 부담해야 한다. 변동 수수료 체계로 기업은 IT제품 중 보안 기능이 있는 부분에 한해서만 평가를 받을 수 있다.
◇공공기관 납품에는 보안적합성 검증받아야=우리나라가 CCRA에 가입하게 되면 국내 공공기관은 해외에서 국제공통평가인증(CC)을 획득한 보안제품을 국내 제품과 동일하게 구매할 수 있게 된다. 공공기관은 기관별 보안 등급에 따라 CC인증을 받은 제품을 구매하기 전 국정원에 보안적합성 검증을 받아야 한다. 보안적합성 검증이란 기존에 시행되던 보안성 검토의 새로운 명칭으로 공공기관의 중요 정보를 보호하기 위해 실시하는 보안 기능성 평가다. 한번 보안적합성 검증을 받은 제품은 같은 보안 등급의 기관에는 별도의 절차 없이 구축이 가능하며, 등급이 높은 기관에 납품될 때는 이에 적합한 기능성 평가를 거쳐야 한다.
김인순기자@전자신문, insoon@