국정원, CC인증 사후 관리 강화한다

 국제공통평가기준(CC) 인증을 받은 정보보호 제품에 대한 사후관리가 대폭 강화된다.

 국가정보원은 서울 삼성동 섬유센터에서 ‘IT 보안성 평가 워크숍’을 열고 CC 인증을 받은 정보보호 제품이 제대로 관리되지 않을 경우 인증을 취소하는 등 강력한 사후관리 조치를 실시할 예정이라고 30일 밝혔다. 또 우리나라가 지난 5월 초 국제공통기준상호인정협정(CCRA)에 가입함에 따라 방화벽·침입탐지시스템(IDS)·침입방지시스템(IPS) 같은 정보보호 제품의 인증서 유효 기간을 전면 폐지한다고 발표했다.

 그동안 기업들은 정보보호 제품에 대해 인증을 받고 3년 후에 재인증을 받아야 했다. 국정원은 인증서 유효 기간을 폐지하는 대신 인증 제품의 △보증 요구사항 △기능 요구사항 △평가되지 않은 절차 △보안에 영향을 주는 대다수의 경미한 변경 같은 제품의 주요 변경 사항에 대해 관리 감독을 강화한다.

 한편 국정원은 인증 제품에 대한 실태 조사를 강화해 제품을 무단 변경하거나 인증받은 부분 이외의 것을 허위 광고할 땐 인증서를 취소할 방침이다.

 국정원은 혼돈을 야기하는 제품명 사용도 금지한다. 예를 들어 IDS 제품으로 인증받았지만 IPS 기능이 포함됐다며 IPS라는 단어를 사용하는 것 등을 단속한다.

 국정원 관계자는 “CCRA 가입에 따라 국제 수준에 부합하도록 인증 제품에 대한 관리 감독을 강화하는 것”이라며 “앞으로 제품 관리를 철저히 하지 않는 기업은 인증서가 취소될 수 있다”고 밝혔다.

 김인순기자@전자신문, insoon@