2020년부터 단계적 적용…보안적합성 검증이나 보안기능 시험결과서 발급 의무
국가정보원은 9월 30일 한국과학기술회관 대회의실에서 300여 명의 보안업계 관계자들이 참석한 가운데 ‘보안적합성검증 제도’에 대한 설명과 주요 검증정책 및 개선내용 등에 대해 설명하는 시간을 가졌다.
2020년 1월부터 적용될 개선내용의 핵심은 △보안USB △자료유출방지 △네트워크 장비 △가상화 관리 제품(신설) △망간 자료전송 제품 등 5개 품목에 대해 현재 선도입 후검증에서 ‘선검증 후도입’으로 전환한다는 내용이다. 5개 품목 이외 제품은 현행대로 유지된다.
이 자리에서 국정원 관계자는 “국가·공공기관 망분리가 확산되고 있는 기조에서 관련 분야 취약 제품에 대한 보안강화가 필요했다. 망분리가 정착되는 상황에 내부와 외부로 자료를 전달하는데 보안성을 검증받지 않은 제품이 사용된다면 해킹사고로 직결될 수 있기 때문”이라며 “5개 품목의 제품을 선정한 이유도 여기에 있다. 이 제품들이 제 역할을 못하면 내부망 자료유출로 이어질 수 있기 때문에 보안강화 차원에서 내년부터 단계적으로 적용할 방침이다”라고 밝혔다.
국가·공공기관의 내부망 자료유출을 예방하기 위한 이번 조치의 시행은 1차로 보안USB, 네트워크 장비, 가상화 관리 제품 등 3개 품목 제품들에 대해 2020년 1월부터 적용한다.
2차는 2021년부터 호스트, 네트워크 자료유출 방지 제품이 적용되고 3차는 2022년부터 망간 자료전송 제품이 적용을 받게 된다.
즉 △보안USB △자료유출방지 △네트워크 장비 △가상화 관리 제품(신설) △망간 자료전송 제품들은 국산이든 외산이든 동일하게 국정원 보안적합성 검증이나 보안기능 시험결과서를 발급 받아야 국가·공공기관에 납품이 가능하다.
검증필 제품에 등재되지 않으면 국가·공공기관에 납품은 불가하다. 5개 품목 제품이 국내 혹은 국제 CC인증을 받았다고 하더라도 국정원 보안적합성 검증이나 보안기능 시험결과서를 발급 받아야 검증필 제품에 등재될 수 있다. 관련 기업들은 CC인증 유효기간 종료 전에 검증필 제품에 등재될 수 있도록 준비해야 한다.
5개 품목에 대해 국정원은 선검증을 하고 검증필 제품 목록에 등재된 제품만 국가·공공기관이 도입을 결정할 수 있게 된다. 선검증 후도입이다.
특히 이번 개정에 포함된 가상화 제품에 대해 국정원 관계자는 “가상화 기술 변화를 반영한 조치다. 기존 가상화 제품은 CC인증을 받으면 되지만 이번에 추가된 가상화 관리 제품은 의무적으로 보안기능 시험결과서를 받아야 한다”고 설명했다.
국정원은 5개 품목에 대한 개정내용을 시행하기 전에 업계 의견수렴을 계속 진행할 계획이며 보안적합성과 보안기능 시험결과서에 대해서 국정원, 국가보안기술연구소 및 보안기능 시험 8개기관에 문의하길 바란다고 전했다. 또 이번 개정 내용에 대해 국정원 홈페이지에 바로 공지할 예정이다.
한편 이 자리에 참석한 외산 업체 관계자들은 "시행일정이 너무 촉박하다", "CC인증을 인정하지 않고 새로운 공공기관 진입 규제를 만든 것 아니냐"며 당혹감을 표하기도 했다.
보안적합성 검증은 국가정보통신망의 보안수준 제고를 위해 ‘전자정부법’ 제56조에 의거, 국가공공기관이 도입하는 정보보호시스템·네트워크 장비 등 보안기능이 탑재된 IT제품 및 저장자료 완전삭제제품의 안전성을 검증하는 제도다.
중앙행정기관과 주요정보통신기반시설 관리기관 및 광역시·도(교육지원청 포함)는 정보보호시스템·네트워크 장비 도입후 국가정보원에 보안적합성 검증을 신청해야 하며 검증과정에서 발견된 취약점을 제거한 후에 운용해야 한다.
한편 ‘보안기능 시험결과서 발급제도’는 보안적합성 검증절차 간소화를 위해 정보보호시스템·네트워크 장비 등 IT 제품에 대해 공인 시험기관이 ‘국가용 보안요구사항’ 만족 여부를 시험하여 안전성을 확인해 주는 제도다. 국가정보원은 정책기관, 국가보안기술연구소는 검증기관으로서 제반 업무를 담당하고 있으며 한국정보통신기술 협회(TTA) 등 8개 기관이 공인시험기관으로 지정되어 관련 업무를 수행하고 있다.
[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★