정보통신부는 현재 K4등급에 편중된 정보보호시스템 평가의 문제점을 해결하고 정보보호제품 개발과 사용 효과를 높이기 위해 국가정보원과 함께 정보보호시스템이 K2와 K3 등 다양한 등급으로 평가와 인증을 받아 공공기관에서 활용되도록 적극 추진키로 했다.
현행 정보보호시스템 평가제도에서는 정보보호시스템 개발자가 제품 특성과 전략에 따라 K1에서 K7까지 다양한 등급으로 제품을 개발해 평가를 신청할 수 있고, 제품 사용자는 해당기관 보안요구 수준에 따라 등급별로 제품을 구매할 수 있도록 돼있다.
그러나 보안 수준이 높은 몇 몇 국가기관의 제품 권장수준이 K4등급임에 따라 모든 제품이 이에 맞춰 개발되고 평가를 받게 돼 평가적체가 심해지는 등 문제점을 보여 왔다.
정통부는 이를 위해 관련 업체를 대상으로 K2와 K3등급 제품을 개발, 평가신청토록 적극 권장하고 국가기관에서도 보안 수준에 따라 K2·K3등급 제품을 고루 사용하도록 지속적인 홍보활동을 벌이기로 했다.
정통부는 또 리눅스 운영체제(OS)를 바탕으로 한 정보보호제품이 본격 개발됨에 따라 정보보호시스템 평가제도에서 이를 수용키로 했다. 우선 리눅스기반 정보보호 제품에 K2등급 수준의 평가와 인증을 부여하고, 장기적으로는 시큐어 리눅스 개발프로젝트 등을 통해 K4등급 수준의 평가·인증을 부여할 방침이다.
이와 함께 정통부는 국제적인 정보보호제품 평가 추세에 맞춰 국제 공통평가기준(Common Criteria)을 올해 안에 도입, 국가표준과 평가기준으로 수용해 모의평가 등을 거쳐 내년부터는 이를 기반으로 평가할 방침이다. 이를 위해 7월말 CC기반 평가제도 도입을 위한 워크샵을 열기로 했다.
저작권자 © 정보통신신문 무단전재 및 재배포 금지