정보보호제품 공공 납품, 'CC인증' 없이 '보안기능 확인서'로 가능

국가정보원
공공기관 도입 요건
1월 1일부터 완화

확인서 발급절차 안내
개정판(V2.0) 배포도

[정보통신신문=박광하기자]

내년부터 정보보호제품의 공공기관 도입 요건이 다양화돼 국가·공공기관에 보안제품을 납품하려는 기업의 부담이 크게 해소될 것으로 기대된다.

'전자정부법' 등에 따라 공공분야에 도입되는 정보보호제품의 안전성 검증을 담당하는 국가정보원은 28일 국정원·국가사이버안보센터 웹사이트 등을 통해 내년 1월 1일부터 국가·공공기관에 정보보호제품을 납품할 경우 'CC인증' 없이도 '보안기능 확인서'를 발급받아 납품이 가능하다고 밝혔다.

기존에는 정보보호제품 공공 분야 납품을 위해서는 제품 유형에 따라 CC인증이나 보안기능 확인서 중 한가지만을 발급받을 수 있었다. 예를 들어, 침입차단시스템의 경우 반드시 CC인증을 발급받아야 했다.

유형별로 발급받을 수 있는 인증서가 정해져 있다 보니, 심사 적체 문제가 일어나기도 했다.

기존에는 'CC인증'만을 인정해 기업들의 CC평가 신청이 한꺼번에 몰리면서 인증서 발급 지연에 대한 지적이 제기되기도 했던 것이다.

반면, 국정원의 이번 조치에 따라 앞으로 침입차단시스템·스팸메일 차단시스템 등 24종의 정보보호제품을 공공기관에 납품하려는 기업은 보안기능 확인서로 납품할 수 있게 됐다.

정보보호제품 공공기관 도입 요건 완화 사항을 구체적으로 살펴보면, △침입차단시스템 △웹 방화벽 △인터넷전화 보안 △침입방지시스템 △무선침입방지 △네트워크 접근통제 △무선랜 인증 △스팸메일 차단시스템 △스마트카드 △통합보안 관리 △스마트폰 보안관리제품 △운영체제(서버) 접근통제제품 △통합로그관리 △패치관리시스템 △DB 접근통제 제품 △디지털 복합기 등 16개 제품 유형은 CC인증이나 보안기능 확인서 중 하나를 선택할 수 있다.

△소스코드보안약점분석도구 △DDoS 대응장비 △안티바이러스제품 등 3개 유형은 CC인증·성능평가·보안기능 확인서 3가지 중에서 하나를 선택하면 된다.

△통합인증제품 △가상사설망 △문서암호화제품(DRM) △DB 암호화제품 등 4개 유형은 CC인증·보안기능 확인서 중 하나를 선택(검증필 암호모듈 필수)할 수 있다.

△망간 자료전송제품을 공공 분야에 납품하기 위해서는 보안기능 확인서가 필요하다.

'보안기능 확인서'는 한국기계전기전자시험연구원, 한국정보통신기술협회, 한국정보보안기술원, 한국시스템보증, 한국아이티평가원 등 5개 시험기관에서 발급받을 수 있다.

국정원은 이번 조치로 다각화·지능화되는 사이버 위협에 대한 각급기관의 적시 대응 지원과 업계의 부담이 경감될 것으로 기대된다고 전했다.

국정원은 국가보안기술연구소 및 보안업계와 함께 11월 22일부터 12월 17일까지 4주 동안 '검증제도 개선T/F'를 운영, 사전에 온라인을 통해 접수한 기업 현장의 의견을 반영해 이 같은 개선방안을 마련했다.

'CC인증'과 '보안기능 확인서' 모두 IT제품에 대한 안전성을 확인하는 제도로 'CC인증'은 국제표준 부합 여부, '보안기능 확인서'는 공공분야 도입 IT제품에 대해 우리나라 보안기준 충족 여부를 확인하는 제도다.

도입 요건이 다양화됨에 따라 기업은 앞으로 새로 개발한 정보보호제품을 공공기관에 보다 빨리 납품할 수 있게 됐고, 공공기관도 신종 해킹 공격에 대응 기능을 갖춘 제품을 적시에 납품받아 사이버 위협에 대처할 수 있게 됐다고 국정원은 설명했다.

국정원은 앞서 지난 7월 업계 의견을 반영해 '보안기능 확인서' 간소화 절차를 마련, 국가보안기술연구소의 시험결과 검토 과정을 생략할 수 있도록 했다. 간소화 절차 시행 이후 평균 170일이 소요되던 발급 기간은 평균 39일로 크게 단축됐다.

올해 4월에도 'CC인증'·'보안기능 확인서' 등 보안제품 안전성 검증에 기준이 되는 '국가용 보안요구사항'을 전면 개정한 바 있는데, 개정 당시 업계와 유관기관이 제안한 529건의 의견 중 83%인 437건을 개정 내용에 반영했다.

국정원 관계자는 "앞으로도 기업 및 유관기관과 꾸준히 소통하며 검증 절차 간소화 등 업계 요구사항을 관련 제도 개선에 적극 반영하겠다"고 말했다.

한편, 국정원은 이번 조치와 더불어 '보안기능 확인서 발급절차 안내' 개정판(V2.0)을 배포했다.

개정판에는 △표준·간소화·CC인증 수용 발급 절차 △시험기관·시험원 및 '보증 시험' 등에 대한 상세 설명이 추가됐다.

또한 △국가용 PP(Protection Profile)를 준수한 국제용 CC인증제품에 대한 발급절차 △'보안기능 구현명세서' 기반 시험·발급 절차 △'착수검토회의' 및 시험중 제출물(제품 포함) 보완 절차 △탑재된 암호모듈 만료시 추가 시험을 통한 효력연장 절차 등의 신설 절차 설명이 추가됐다.

박광하 기자 다른기사 보기