[CCRA 시대 개막]정보보호제품평가인증 이렇게 바뀐다

　우리나라가 CCRA에 가입하면서 정보보호 제품 평가·인증제도가 국제공통기준(CC)으로 바뀐다.

　인증기관인 국정원과 평가기관인 한국정보보호진흥원은 국제 수준에 맞게 평가·인증 방법을 개선, 시행한다. 이에 따라 정보보호 제품 평가·인증이 현행보다 더욱 철저해질 전망이다.

　CCRA 가입에 따라 국정원은 방화벽·침입탐지시스템(IDS)·침입방지시스템(IPS) 등 정보보호제품의 신규인증 시 인증서 유효기간을 전면 폐지한다. 그동안 기업은 정보보호제품 인증을 받고 3년 후에 재인증을 받아야 했다.

　국정원은 인증서 유효기간을 폐지하는 대신 인증 제품의 △보증 요구 △기능 요구 △평가되지 않은 절차 △보안에 영향을 주는 대다수의 경미한 변경 등 주요 변경 사항에 대해 관리 감독을 강화한다.

　국정원은 또 인증 제품의 실태 조사를 강화해 제품을 무단 변경하거나 인증받은 부분 외의 것을 허위 광고하거나 허위 사실을 유포하면 인증서를 취소할 방침이다. 국정원은 인증서 오남용에 대응하는 한편 새로운 보안 취약성에 기업이 적극 대처하지 않으면 인증서를 취소할 예정이다.

　정보보호제품 평가 수수료도 고정 체계에서 변동 체계로 변한다. 국정원은 기존 2500만원가량의 수수료를 제품의 평가나 복잡성에 따라 차등화한다. 또 제품 평가 수수료는 선진국 수준으로 올려 현실화한다.

　이에 따라 기업은 단순한 제품을 개발해 평가 인증을 받을 때에는 낮은 수수료를 내고, 기능이 복잡한 제품을 평가받을 시에는 많은 수수료를 내는 등 제품에 따라 수수료를 차등 부담해야 한다.

　국내 공공기관에 정보보호 제품을 납품하는 기준도 달라진다. 우리나라의 CCRA 가입으로 공공기관은 해외에서 국제공통평가인증(CC)을 획득한 보안제품을 국내 제품과 동일하게 구매할 수 있게 됐다. 공공기관은 기관별 보안 등급에 따라 CC인증을 받은 제품을 구매하기 전 국정원에 보안적합성 검증을 받으면 된다.

　한편 국내 평가인증제도인 기존 K제도 인증은 2008년 말로 유효성을 완전히 상실한다.

　김인순기자@전자신문, insoon@

◆CCRA란

　국제공통기준상호인정협정(CCRA:Common Criteria Recognition Arrangement)은 정보보호 제품과 IC카드 등 IT관련 제품이나 소프트웨어(SW) 등의 국제공통기준(CC:Common Criteria) 인증서를 회원국 간 인정하는 협약을 말한다.

　1998년 미국·영국·캐나다 등 5개국은 각 국이 평가·인증한 정보보호제품을 회원국 상호 간 인정하기로 하는 협정을 맺었다. 2000년 5월 미국·영국·프랑스 등 13개국 정부기관이 CCRA에 서명하고 이를 공식 출범했다.

　현재 CCRA 회원국은 인증서를 발행하는 인증서발행국(CAP)과 인증서는 발행하지 않고 이를 인정하는 인증서수용국(CCP)으로 이원화돼 있다. 회원국은 총 23개국이며 우리나라의 가입으로 CAP는 11개국, CCP는 12개국이 됐다.

　소프트웨어와 각종 하드웨어의 사이버 위협이 급속도로 증가하면서 CCRA 위력도 확대되고 있다. CCRA 가입국 사이에 정보보호 제품을 공통으로 평가하는 기준이었던 공통평가기준(CC)이 보안솔루션은 물론이고 운용체계, 디지털 복합기, 반도체 등 IT제품 전반의 신뢰성을 평가하는 기준으로 확산되고 있다.

　우리나라는 지난 2004년 9월 CCRA 가입신청서를 제출하고 다음해 1월 회원국 만장일치로 인증서수용국(CCP) 지위를 확보했다. 또 지난해 11월 호주·일본·네덜란드 인증전문가로부터 인증수행 역량에 대한 실사를 받았으며 지난 2월 미국·영국·프랑스 등 8개국으로 구성된 심사위원회 심의를 거쳐 11번째 인증서발행국이 됐다.

　김인순기자@전자신문, insoon@