국가정보원이 보안기능확인서를 획득한 제품에 대한 시험결과 요약서 발급 절차에 돌입했다.
보안기능확인서가 국제공통평가기준(CC) 인증과 달리 요약보고서를 공개하지 않아 두 인증 간 형평성 문제는 물론 제품 신뢰성 저하가 우려된다는 정보보호산업계 의견을 수용한 조치다. 다만, 의무사항이 아닌 자율적으로 요약보고서를 발급받도록 함에 따라 실제 성과로 이어질지 미지수다.
16일 정보보호산업계 등에 따르면, 국정원은 최근 보안기능확인서 제품에 대해 '시험결과 요약서'를 발급한다고 공지했다.
그간 정보보호산업계 일각에선 보안기능확인서 제품도 CC인증과 마찬가지로 요약보고서를 공개해야 한다고 목소리를 내왔다. 현행법상 국가·공공기관 납품 시 대다수 정보보호제품이 CC인증 또는 보안기능확인서를 받아야 한다. CC인증과 보안기능확인서가 사실상 동등한 대우를 받으며 경쟁을 벌이는데, 조달시장에서 국가·공공기관 정보보호담당자가 보안기능확인서 제품을 제대로 검증하기 어렵다는 지적이 있었다.
한 사이버보안기업 대표는 “조달시장에서 국가·공공기관 정보보호담당자는 요약보고서가 제공되지 않은 보안기능확인서 제품의 경우 정보보호기업이 제공하는 카달로그만 믿고 구입하는 실정”이라며 “제품 성능과 기술력을 꼼꼼히 따지기 힘들고 CC인증 제품과 공정 경쟁이 어려웠다”고 지적했다.
이에 국정원은 보안기능확인서를 취득한 제품의 시험 결과 요약보고서를 공개할 수 있도록 한 것이다. 시험결과 요약서는 보안기능 시험을 마친 정보보호 제품에 대한 △요약된 시험결과와 △적용된 국가용 보안요구사항 등을 기재한 문서를 말한다.
보안기능확인서를 발급받은 기존 제품은 한국정보통신기술협회·한국아이티평가원·한국정보보안기술원·한국전자통신연구원 등 해당 제품의 시험기관에 요청해 시험결과 요약서를 발급받을 수 있다. 시험결과 요약서는 국가사이버안보센터 홈페이지에서 제품별로 확인할 수 있다. CC인증의 경우 IT보안인증사무국 홈페이지에 CC인증을 획득한 제품과 인증보고서를 함께 게시하고 있다.
다만, 보안기능확인서 제품의 시험결과 요약서 발급은 필수가 아니라 요청 시 발급받을 수 있도록 길을 열어준 데 그친다는 한계가 있다. 현재 인증 유효기간이 남은 보안기능확인서 제품은 3350여개에 달한다.
정보보호산업계 관계자는 “제도 시행 이후 보안기능확인서를 획득한 제품엔 긍정적인 영향을 끼치겠지만 현재 유통되는 제품이 너무 많다”면서 “문제가 있는 기업이 스스로 요약보고서를 발급할리 만무하기에 자율에 맡기는 건 소용이 없다”고 말했다.
그러면서 “도입기관이 요약보고서를 요청하는 방법밖에 없다”고 덧붙였다.
조재학 기자 2jh@etnews.com
