공공기관용 정보보호제품이 의무적으로 받아야 하는 국제공통평가기준(CC) 인증 범위가 대폭 축소된다. 대신 CC인증 기준은 EAL 2 등급 이상으로 그동안 EAL 1 등급에도 인증이 주어지던 것보다 강화된다.
21일 국가정보원 IT보안인증사무국은 다음달 1일부터 전체 보안제품 중 네트워크·컴퓨팅 기반 보안제품에만 CC인증을 그대로 유지하고 여타 제품군은 CC인증 의무사항에서 제외한다고 밝혔다.
국정원은 대신 암호기반 제품의 경우 신설된 ‘국가용 암호제품 지정제도’의 적용을 받도록 했다. 이 제도는 제품 1건 당 1억원 가량의 비용이 드는 CC인증 대신 국정원에서 신청업체의 제품을 평가해 공공기관에 납품할 수 있는 권리를 주는 것이다.
구체적으로 △PKI △SSO △디스크·파일·문서 암호화 △구간 암호화 △메일 암호화 △ 키보드암호화 제품 및 △ 하드웨어(HW) 보안토큰 등이 대상 품목이다.
국정원은 이와 함께 CC인증이 유지되는 네트워크·컴퓨팅 기반 보안제품의 경우 검증필 암호모듈 탑재가 ‘의무사항’에서 ‘권고사항’으로 완화된다.
국정원은 CC인증 범위를 축소하는 대신 그동안 ELA 1 등급도 가능했던 인증 기준을 ELA 2 이상으로 올려 CC인증 품질을 높이기로 했다.
◇뉴스의 눈
국정원의 이번 조치는 비현실적인 CC인증 제도에 힘겨워하던 업계에 단비 같은 소식이다. 그동안 CC인증은 비용만 1억원 이상이 소요되는데다 시간도 1년을 넘기는 것이 예사였다.
이 때문에 공공기관에 진출하려는 보안업체들이 치뤄야 할 ‘필요악’으로 여겨졌다. 영세한 중소기업이 대부분인 보안업계의 경우 CC인증을 받는 비용으로 회사의 존망이 흔들리는 상황도 발생했다. 인정 절차가 까다로워 분산서비스거부(DDoS) 장비의 경우 CC인증을 단 한건도 받지 못해 공공기관이 도입조차 못하는 경우도 벌어졌다.
CC인증 범위를 불요불급한 영역으로 대폭 축소한 것은 이 같은 비현실적 제도를 현실화했다는 평가다. 그러나 CC인증에 대한 관리가 한층 강화되는 점은 눈여겨볼 대목이다.
CC인증을 받은 제품과 같은 버전의 제품이라고 마치 CC인증을 받은 것처럼 공급하거나, 혹은 수요처의 요구에 따라 제품 형상을 변경하는 경우 즉각적인 제제가 가해지기 때문이다.
실제로 국정원은 이날 시큐아이닷컴의 침입탐지 시스템인 ‘NXG SE’시리즈에 대해 기존에 부당 사용됐다는 이유로 한달 동안 CC인증 효력을 정지한다고 밝혔다.
지난달 LG CNS의 침입방지시스템 ‘세이프존 IPS V2.0(SZ-2000)’의 CC인증 효력 정지 이후 두 번째다. 약속을 지키지 않은 기업에 대해서는 실제 영업상의 불이익이 가해질 수 있게 제제하겠다는 의도로 해석된다. 범위 완화와 기준 강화라는 당근과 채찍에 가장 빨리 적응하는 기업이 경쟁력을 확보할 수 있게 됐다.
정진욱기자 coolj@etnews.co.kr