보안적합성 검증은 공공부문에 도입하는 보안기능이 탑재된 정보기술(IT)제품과 저장자료 완전 삭제 제품의 안전성을 확인하는 절차다.
중앙행정기관, 주요정보통신기반시설 관리기관, 광역시·도, 광역시·도 교육청 등이 대상이다. 이들 기관은 정보보호시스템·네트워크 장비 도입 때 국가정보원에 보안적합성 검증을 신청해야 한다.
국정원은 검증대상 제품의 국가용 보안요구사항 만족 여부 확인을 위해 국가보안기술연구소에 시험을 의뢰하고, 연구소는 최종 시험 결과를 국정원에 제출한다. 국정원은 시험 결과와 보안대책을 검토해 신청 기관에 보안적합성 검증 결과를 통보한다.
공공기관은 보안적합성 검증 결과에 따라 발견된 보안 취약점을 제거한 후, 정보보호시스템·네트워크 장비를 운용해야 한다.
공공기관은 도입하려는 정보보호시스템이 CC인증 획득·검증필 암호모듈 탑재 등 도입 요건의 만족 여부를 우선 확인한 후 도입 제품에 대해 보안적합성 검증을 신청해야 한다.
국내용 CC인증을 획득한 제품, 국가용 보안기술 요구사항(PP) 등 국가정보원장이 인정한 PP를 준수해 국제 CC인증을 획득한 제품, 보안기능 확인서 발급 제품, 기타 국가용 보안요구사항을 만족해 국가정보원장이 별도 공지한 제품은 보안적합성 검증을 생략할 수 있다. 앞으로는 신속확인제도 확인서 취득 제품 또한 보안적합성 검증 면제 대상에 포함된다.
앞서 다른 공공기관이 보안적합성 검증을 받은 제품이라 할지라도 다시 검증을 받아야 한다. 앞서 발견된 문제점개선 여부와 신규 취약점을 파악하고 검증 제품과 동일 형상 여부 등을 파악하기 위해서다.
최호기자 snoop@etnews.com
-
최호 기자기사 더보기