국정원, VoIP 등 보안적합성 검증 대상 조정

 앞으로 망 전환장치와 로그관리 솔루션, 인터넷 전화(VoIP)는 국가 공공기관에 구축될 때 보안적합성 검증을 받지 않아도 된다.

 국가정보원 IT보안인증사무국은 15일 보안 기능이 없는 △망 전환장치 △로그관리 제품 △VoIP 등 일부 정보통신기기를 보안적합성 검증 대상에서 제외하고 이들 제품의 공공기관 납품 과정을 간소화했다.

 보안적합성 검증은 국정원이 공공기관에 설치되는 정보보호 제품에 대해 국가 중요 정보를 보호하는 데 문제가 없는지 점검하는 제도다. 국정원은 최근 공공기관으로 확산되고 있는 VoIP를 정보보호 제품이 아닌 정보통신망으로 분류한 바 있다.

 이에 따라 국가 공공기관은 VoIP를 도입하기 전에 국제공통평가기준(CC) 인증 및 보안적합성 검증을 받을 필요가 없다. 특히 공공기관에 제품을 납품하려는 VoIP 솔루션 기업의 영업활동이 활기를 띨 전망이다. 다만 VoIP를 구축하려는 기관은 ‘전자정부법시행령 34조’와 ‘국가정보보안기본지침 11조’에 의거해 정보통신망의 보안성 검토는 받아야 한다.

 국정원은 단순 망 전환장치와 로그 저장 기능을 포함한 솔루션은 보안적합성 검증을 받을 필요가 없다고 밝혔다.

 이번에 제외된 망 전환장치는 PC 내부에 설치되거나 네트워크에 설치되는 ‘단순 망 전환장치’로 망 전환 기능 외에 정보보호 기능이 포함되지 않은 정보통신기기다. 단순 로그 저장 기능을 포함한 소프트웨어와 하드웨어도 보안적합성 검증 없이 공공기관에 구축할 수 있게 됐다.

 그러나 망 전환장치 중 최근 확산되고 있는 네트워크 접근제어(NAC) 등 망 전환 기능이 포함된 정보보호 제품은 보안적합성 검증 대상이다. 또 통합보안관제(ESM) 등 로그 분석 기능이 포함된 제품은 지속적으로 보안적합성 검증을 받아야 한다.

 국정원 관계자는 “이번 조정은 보안 기능이 없는 일부 정보통신기기를 적합성 검증 대상에서 제외하고 정보통신망과 정보보호 제품의 정의를 구분해 보안적합성 검증제도의 시행 취지를 명확히 하려는 목적”이라고 설명했다.

 김인순기자@전자신문, insoon@