국정원 ‘네트워크장비 보안적합성 검증’ 요구사항 확정···외산 장비 진입장벽될까 `촉각`

관련 통계자료 다운로드 네트워크장비 보안적합성 검증 개요

오는 10월부터 정부와 공공기관에 납품하는 네트워크 장비는 국가정보원의 보안 적합성 검증을 통과해야 한다. 미국 등에서 네트워크 정보 감시와 유출 문제가 부각된 상황이어서 해외 장비의 공공분야 진출이 더욱 까다로워질 것으로 예상된다.

국정원과 국가보안기술연구소는 10일 분당 한국정보통신기술협회(TTA)에서 설명회를 열고 ‘네트워크 장비 보안적합성 검증’ 제도를 위한 최종 보안기능 요구사항을 발표했다.

네트워크 장비 보안적합성 검증은 보안 솔루션과 마찬가지로 공공기관이 도입하는 네트워크 장비에도 보안 기준을 마련해 이 기준을 통과한 제품만 납품하도록 하는 제도다. 미국 국가안보국(NSA)의 무차별적 정보 감시, 중국 장비의 보안성 논란이 일면서 도입이 결정됐다. 레이어3(L3) 이상 스위치, 라우터, IP-교환기에 우선 적용된다.

이번에 발표된 요구사항은 국정원이 지난해 12월 업체 설명회에서 공개한 8개 분야 21개 항목을 더 세분화했다. 구체적으로 △식별 및 인증 △암호지원 △정보흐름 통제 △보안관리 △자체시험 △접근통제 △전송데이터 보호 △감사기록 등 8개 분야에 걸쳐 44개 항목(필수 27개, 선택 17개)이 정해졌다.

필수 항목은 말 그대로 필수 보안 기능이다. 선택 항목은 현재 업체 장비에 구현된 기능을 고려해 향후 단계적으로 강화돼야 할 보안 기능, 구현될 되 만족돼야 하는 사항을 정의했다. 국정원은 각 항목의 객관성과 신뢰성 확보를 위해 전문가로 구성된 검증위원회를 구성해 요구사항을 검토·심의했다.

네트워크 장비를 도입하려는 공공기관은 국정원에 공급업체의 장비 보안성 검증을 신청해야 한다. 국정원은 국가보안기술연구소에 검증 시험을 의뢰할 방침이다. 도입 기관이 신청하는 것이기 때문에 장비 제공업체에 별도 검증비용이 들지는 않는다. 하지만 원활한 장비 공급을 위해선 미리 요구사항에 맞춰 보안 기능을 개발하고 시험해둬야 한다.

국정원은 지난해 9월부터 시범검증 작업을 진행해왔다. 또 지난해 말 설명회에 참석했던 국내외 업체를 중심으로 자율적 보안적합성 검증을 추진토록 했다. 최소보안기능 요구사항을 기반으로 자사 제품을 검증하면서 본격적인 제도 시행에 대비하도록 하기 위해서다. 자율검증 결과와 업계 의견은 최종 보안기능 요구사항에 종합 반영했다.

네트워크 장비 업계는 보안적합성 검증 제도가 향후 공공 분야 사업에 어떤 영향을 미칠지 예의주시하고 있다. 지난해 말 국정원이 처음 제도를 발표할 당시엔 실효성 여부와 외산 제품 차별 가능성 등 여러 이슈를 두고 갑론을박이 치열했다.

하지만 보안적합성 검증은 소스코드를 공개하지 않기 때문에 국산과 외산 장비 모두에 유불리가 없다. 순전히 보안 강화가 목적인 제도다. 오히려 국내 업체들이 글로벌 업체와 차별성이 없다며 불만을 털어놓기도 했다.

국정원 국가사이버안전센터 관계자는 “해외에서는 보안 취약점이 계속 발견되면서 시스코, 주니퍼 등 네트워크 장비 CC인증이 증가하고 있다”며 “국가 기간망과 정보보호를 위해 네트워크 장비의 안정성을 확인하는 장치가 반드시 필요하다”고 강조했다.

국정원은 2016년 1월부터 국제공통평가기준(CC) 인증도 도입할 계획이다. 보안 솔루션은 CC인증을 받으려면 소스코드를 공개해야 하기 때문에 국내 보안 업체에 유리한 요소로 작용해왔다. 하지만 네트워크 장비도 소스코드 공개할지는 아직 정해진 바가 없다.

<네트워크장비 보안적합성 검증 개요 / 자료:국가보안기술연구소>


네트워크장비 보안적합성 검증 개요 / 자료:국가보안기술연구소


안호천기자 hcan@etnews.com