UPDATED. 2022-09-25 19:01 (일)
양자암호통신장비 보안적합성 검증, 공공납품 촉진 기대
양자암호통신장비 보안적합성 검증, 공공납품 촉진 기대
  • 박광하 기자
  • 승인 2022.06.13 10:06
  • 댓글 0
이 기사를 공유합니다

국가정보원, 설명회 개최
성능평가결과확인서
보안기능확인서 발급 제품
공공 수의계약 허용 추진

권장 시험기간 제도 도입
제품군별 기간 편차 개선
국정원이 'IT보안제품 보안적합성 검증정책 설명회'를 개최했다.
국정원이 'IT보안제품 보안적합성 검증정책 설명회'를 개최했다.

[정보통신신문=박광하기자]

국가정보원의 보안적합성 검증 대상인 정보보호제품, 네트워크장비에 양자암호통신장비가 추가된다. 성능평가결과확인서, 보안기능확인서를 받은 정보보호제품에 대한 공공 사업 수의계약 허용이 추진된다. 각종 정보보호제품을 대상으로 보안인증확인서를 신속하게 발급할 수 있도록 제도적 개선이 이뤄진다.

국정원과 국가보안연구소, 한국인터넷진흥원(KISA)은 서울 양재동 aT센터에서 최근 'IT보안제품 보안적합성 검증정책 설명회'를 개최해 이 같은 내용을 발표했다.

보안적합성 검증제도란 정부, 지자체, 공공기관이 도입하는 정보보호제품과 네트워크장비가 사이버보안을 구현할 수 있는지를 검증하는 제도다. 공공분야에 이들 제품과 장비를 납품하기 위해서는 '국제공통기준(CC, Common Criteria) 인증'이나 보안기능확인서 등을 제출해야 한다.

과거 정보보호기업들은 자신들이 개발한 정보보호제품에 대해 CC 인증서를 발급 신청 시, 심사 기간이 지나치게 길어지면서 공공 납품이 지연되는 문제가 발생하기도 했다. 아울러, 인증서 유효기간 연장 소급 적용에 소외된 기업들이 상대적으로 불이익을 겪기도 했다.

이에 국정원은 보안기능확인서 발급 절차 간소화와 유효기간 일괄 소급 확대 조치에 이어, 다수의 정보보호제품군에 대해 기존 CC 인증 외에도 보안기능확인서를 발급받아 공공 납품 시 활용할 수 있도록 했다. 이 같은 개선에 따라 국내 정보보호산업계의 보안기능확인서 발급 수요가 증가할 것으로 전망된다.

이번 설명회에서 눈여겨 볼 점은 보안기능 시험제도 대상 중 양자암호통신제품군 신설 계획이다.

최근 양자암호통신을 이용한 사이버보안 강화 조치가 국내외에서 확산되자, 국정원이 해당 기술을 공공분야에 신속하게 적용할 수 있도록 보안적합성 검증 대상에 양자암호통신장비를 포함한 것으로 풀이된다.

이 같은 계획에 따라 양자암호통신장비에 대해서도 보안기능확인서가 발급되면 정부, 지자체, 공공기관 등에 신속하게 납품이 가능하게 된다. 보안기능확인서는 정보보호제품에 대해 국가용 보안요구사항을 충족한다는 사전 확인 인증서 성격을 갖고 있기 때문이다.

국정원이 공개한 양자암호통신장비의 국가용 보안요구사항을 살펴보면, 먼저 양자암호통신장비는 양자통신암호화장비(QENC), 양자키관리장비(QKMS), 양자키분배장비(QKD) 등 셋으로 분류된다. 장비별 보안요구사항 항목은 QENC가 48개, QKMS가 47개, QKD가 55개 등이다.

양자암호통신장비 보안기능 시험기관은 한국전자통신연구원(ETRI)과 한국정보통신기술협회(TTA) 등으로, 올해 보안기능 시험제도 시범시행을 거쳐 2023년부터 본격 시행한다는 방침이다.

국정원은 보안기능확인서나 성능평가결과확인서를 발급받은 정보보호제품이 공공 납품 시 수의계약을 할 수 있도록 제도 개선을 추진하고 있다.

국정원은 이들 확인서를 받은 제품이 수의계약 대상에 포함될 수 있도록 기재부 등과 협의하고 있다고 설명했다. 지금까지는 정보보호인증제도에서 CC 인증서 보유 제품만 수의계약이 가능하다.

보안기능확인서의 기존 제품 유형에 해당하지 않은 정보보호제품을 '기타'로 기재해야 했던 점도 개선된다. 이 경우, 국정원은 앞으로 보안기능확인서 발급 신청 기업이 해당 제품의 유형을 직접 기재할 수 있도록 허용한다는 방침이다. 이렇게 되면, 시장에서 통용되는 제품 유형을 직접 기재해 공공 납품 시 수요기관의 이해를 도울 수 있을 것으로 기대된다. 국정원은 직접 기입한 제품 유형이 사후적으로 시장에서 통용되는 명칭과 상이하게 될 경우에는 간단한 행정절차를 거쳐 제품 유형을 변경 기입할 수 있도록 한다고도 전했다.

권장 시험기간을 도입해 검증 시험기관별 소요 시간의 편차를 줄이기로 했다.

국정원은 정보보호제품 공통보안요구사항(서버 및 앤드포인트)은 35~40일, 제품단위 보안요구사항은 5~10일, 스위치 및 라우터 보안요구사항은 10~15일, 소프트웨어정의네트워크(SDN) 스위치, 컨트롤러 보안요구사항은 15~20일을 권장 시험기간으로 정했다.

다만, 제출 문서의 사전검토가 완료돼 더 이상 수정할 내용이 없고 제품에 보완사항이 없을 경우에 권장 시험기간이 적용되며, 보안요구사항이 복합적으로 적용되거나 구현명세서 기반으로 시험이 이뤄지면 시험기관과 소요기간을 별도 산정한다고 전했다.

한편, 국정원은 2016년 7월 보안기능시험제도 도입 후 전자통신연구원(ETRI), TTA 등 6개 시험기관에서 발급한 보안기능확인서가 현재까지 259건이었다고 밝혔다.

연도별로 살펴보면 △2017년 20건 △2018년 10건 △2019년 29건 △2020년 53건 △지난해 101건으로 조사됐고, 올해 현재까지는 46건이다.

259건 중 외산은 168건, 국산은 91건이었다. 이 중 정보보호 제품은 35건으로 국산은 29건(83%), 외산은 6건(17%)이다. 네트워크장비는 외산 제품이 162건(72%)으로 집계됐다. 정보보호제품에서는 국산이, 네트워크장비에서는 외산이 강세인 셈이다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-09-25
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트