정보보호 제품의 평가자에 대한 자격관리와 인증제품에 대한 사후관리가 강화된다.
국가정보원 IT보안인증사무국은 정보보호 제품 평가자의 자격관리 및 인증제품에 대한 사후관리 강화를 위해 정보보호제품 평가인증 수행규정을 개정, 1일부터 발효했다.
이에 따르면 국제 수준의 평가결과 유지를 위해 ‘선임 평가자’에 대해 인증기관이 3년마다 평가 역량을 재심사하여 자격유지 여부를 결정하게 되며 인증 제품의 소유권을 인수하는 업체에도 제품의 관리능력을 심사하는 등 인증서 재발급 요건도 강화됐다.
또 평가기관이 일부 평가 항목에 대해 시험을 외부 전문기관에 위탁할 경우 인증기관의 사전 심사 승인을 받도록 했다. 인증 제품 형상을 무단 변경할 경우엔 ‘인증취소’ 외에 ‘인증서 효력정지’ 조항을 추가, 사후 보완 기회를 부여토록 했다.
과거 전문 교육 이수 및 실무 평가 수행만으로 정보보호제품 평가자가 될 수 있었으나 지난 1월 정보보호제품 평가인증 수행규정 개정으로 시험 과정이 추가된데 이어 이번에 재심사가 도입됨으로써 정보보호제품 평가자에 대한 관리가 더욱 엄격해졌다. 새롭게 등장하는 보안 분야 기술 변화에 효과적으로 대응할 수 있을 것으로 기대된다.
또 과거엔 제품에 결함이 있을 경우 인증 취소 조치만 가능했으나 이번에 ‘인증서 효력정지’ 조항이 추가돼 처음부터 다시 인증 절차를 밟지 않고도 문제점을 보완할 수 있도록 했다.
국정원은 지난 6월 정보보호제품 국제상호인정협정(CCRA)에 가입하면서 정보보호제품 평가인증 수행규정을 개정하는 등 국내 평가·인증제도를 국제 수준으로 향상시키기 위한 노력을 계속하고 있다.
한세희기자@전자신문, hahn@