국정원, 정보보호제품 검증체계 재정비한다…“SW 공급망 로드맵 중심”

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

정부가 소프트웨어 공급망 보안 로드맵에 맞춰 정보보호제품 검증체계 정비에 나선다. 이에 따라 제도 취지가 동일한 국가정보원의 보안기능 확인서와 과학기술정보통신부의 '정보보호제품 신속확인제도'가 통폐합될 전망이다.

5일 국정원에 따르면, 이달 마련되는 SW 공급망 보안 로드맵을 중심으로 정보보호제품 검증체계를 재정비할 예정이다.

앞서 국정원과 과기정통부는 지난해 9월 관계기관과 SW산업계를 포함한 산·학·연 전문가로 꾸린 'SW 공급망 보안 태스크포스(TF)'를 발족했다. TF는 이달 중 공공분야 SW 공급망 보안 정책과 함께 로드맵을 발표할 예정이다.

국정원은 로드맵 발표 등 변화하는 보안 환경을 반영해 정보보호제품 검증체계를 새롭게 검토할 방침이다. SW 공급망은 SW 개발부터 패치 등 유통, 운영 전 과정을 말한다. 개발사, 유통(공급)사, 운영사 등 어느 단계에서든 사이버 공격 등을 받으면 제품 사용자 전체에게 피해가 확산하는 위험이 있다. 지난해 보안 SW 업데이트 과정에서 발생한 오류로 공항·금융 등 세계 곳곳이 마비되는 일명 '죽음의 블루스크린' 사태가 일어나기도 했다. 갈수록 SW 공급망 보안이 중요성해짐에 따라 정보보호제품 검증체계도 재개편될 것으로 보인다.

검증체계가 정비되면서 목적이 중복된 국정원의 보안기능 확인서 발급절차와 과기정통부 신속확인제도도 재검토된다.

두 제도 모두 마땅한 평가 기준이 없어 인증 획득이 어려운 신제품이나 융·복합 제품의 공공시장 진출 길을 열어주기 위해 도입했다.

국정원은 지난 2021년 5월 '국가용 보안요구사항'이 제정되지 않은 신기술 및 융·복합 제품에 대해 '일반 보안요구사항' 기반 시험 또는 '보안기능 구현명세서' 기반 시험을 통해 보안기능 확인서를 발급받을 수 있도록 보안기능 시험제도를 개편했다. 현재까지 총 31개 제품이 보안기능 확인서를 발급받았다.

과기정통부 역시 별도의 보안적합성 검증 없이 공공기관에 도입이 가능하도록 한 정보보호제품 신속확인제를 2022년 11월 도입했다.

다만 국정원의 보안기능 확인서와 달리 신속확인제품은 '나'와 '다' 그룹에 편성된 공공기관에만 공급이 가능하며 최고 수준의 보안성 안정성을 요구하는 '가'급 기관엔 납품할 수 없다. 신속확인제도는 국정원 보안기능 시험제도와 비교해 검증 수준의 차이가 있어 가급 기관은 제한된다는 게 국정원 측의 설명이다.

국정원은 동일한 목적으로 운영 중인 두 제도를 포함해 정보보호제품 검증체계를 손볼 계획이다.

국정원 관계자는 “정보보호제품 검증체계를 정비하기 위해 SW 공급망 보안 로드맵에 맞춰 산업계 의견을 청취하고 유관 부처와 논의하겠다”고 말했다.

조재학 기자 2jh@etnews.com