[정보통신신문=박광하기자]
국가정보원은 보안기능확인서 발급과 관련된 이해도 제고를 위해 제반 사항을 설명한 '보안기능확인서 발급절차 안내'<사진> 개정판(v1.6)을 최근 배포, IT 업계가 관련 업무에 활용토록 했다.
주요 개정 사항은 △발급 가능 제품 유형중 오기(誤記) 정정 △간소화된 발급절차 설명 추가 등이다.
보안기능 시험 제도(Security Function Test Program)는 보안적합성 검증절차 간소화를 위해 정보보호시스템·네트워크 장비 등 IT 제품의 안전성을 사전 확인하는 제도다. 시험기관은 보안요구사항을 만족한 제품에 대해 보안기능확인서(Verification of Security Function Test)를 발급한다.
보안기능확인서는 국가정보원법 제4조·사이버안보업무규정 제9조 및 전자정부법 제56조·전자정부법 시행령 제69조에 따른 안전성 검증의 대상인 보안기능이 있는 정보통신기기에 대해 발급이 가능하다.
확인서는 침입차단제품군, 침입방지제품군 등 7개 제품군의 39종 제품 유형으로 발급되며, 39종 유형에 포함되지 않은 신종 제품은 각 제품군의 '기타' 유형으로 발급될 수 있다.
'국가용 보안요구사항을 만족한 제품'과 '공통 보안요구사항·일반 보안요구사항이 복합적용된 제품'은 효력연장이 없는 5년을 부여한다. 공통 보안요구사항을 적용하지 않고 일반 보안요구사항만 준수해 발급된 제품은 1년을 부여하며, 최초 발급일로부터 매회 1년씩 최대 3년까지 연장할 수 있다.
공통 보안요구사항을 배제하고 일반 보안요구사항만 적용하는 제품 유형은 가상 인프라 관리 제품으로 제한된다.
'가상 인프라 관리'란 가상 서버를 관리하는 제품유형을 의미한다. 이와 달리 가상 데스크톱 관리는 '가상화 관리제품' 국가용 보안요구사항이 적용되므로 해당되지 않는다.
이 밖에도, '발급 제한기준'에 해당되는 제품에 대해서는 발급이 제한되며 이미 발급된 경우라도 효력이 무효화된다.
우선 반국가단체·테러단체·대한민국 정부 전산망에 사이버 침해행위를 가할 목적으로 조직됐거나 침해행위를 한 사실이 있는 단체(또는 국가의 정부)로부터 기술·자금지원을 받거나, 공동·위탁 개발을 통해 개발된 경우가 발급 제한기준에 해당한다.
대상 제품이 저작권법에 규정된 지적재산권자의 권리를 침해하거나 신청 업체가 제출문서 허위 작성 등의 행위로 시험·검증·정책 기관을 기망, 정상적인 업무수행을 방해한 경우도 발급이 제한된다.
국내 수입·판매되기 위해 사전에 준수해야할 법적 요건·절차를 지키지 않았거나 위계로써 이에 부합한 경우도 발급 제한 사유다. 발급 여부를 심의하는 기술심의회의는 신청 제품이 보안요구사항의 필수 항목을 만족하였더라도 국가 전산망의 안전성을 저해하는 취약점 등 보안위해 요인에 대한 추가 검증을 요청할 수 있다.
또한, 신청 업체가 보안기능확인서 발급이 승인되지 않았음에도 발급되었다고 허위로 공표·홍보할 경우에는 발급을 즉시 불허할 수 있다.
개정판 자료는 국정원 웹사이트에서 확인 가능하다.