민간 정보보호 평가 기관 내년 설립

　내년 상반기 민간 정보보호 제품 평가기관이 설립된다.

　국가정보원 IT보안인증사무국은 22일 과천 기술표준원에서 ‘정보보호제품 민간 평가기관 설립기반 구축 설명회’를 열고 산자부 기술표준원으로부터 공인시험기관 인정을 받은 기업은 국정원의 심사를 거쳐 민간 정보보호 제품 평가기관이 될 수 있다고 밝혔다.

　국정원은 지난 5월 우리나라가 국제공통기준상호인정협정(CCRA)에 가입한 후 정보보호 제품에 대한 국제공통평가기준(CC) 평가 인증 수요가 급증, 적체 현상이 심화되면서 이를 해소하기 위해 민간 정보보호제품 평가기관 승인을 추진해왔다. 지금까지 정보보호 제품에 대한 평가는 한국정보보호진흥원(KISA)만이 할 수 있었다. 국정원은 내년 6월 이전에 KISA 외에 제 2의 정보보호제품 평가기관을 승인할 방침이다.

　민간 정보보호 제품 평가기관이 되려면 우선 기술표준원으로부터 ISO17025 기준에 따라 공인시험기관 인정을 받아야 한다. 또, 정보보호평가 인력 2명 이상을 보유해야 하는데 선임 평가자와 주임평가자 각 1명씩이 있어야 한다. 선임평가자는 EAL4 이상 등급의 제품 평가에 2회 이상 참여해야 하며 평가 경력이 3년 이상 되는 고급 기술자다. 주임평가자는 EAL3 이상 등급의 제품평가에 1회 이상 참여한 기술자다. 평가기관의 독립적인 의사 결정 체계가 유지되는 법인이어야 한다.

　국정원은 관련 기업의 신청을 받은 후 서류 심사와 현장 실사를 하고 180일의 시험 평가 기간을 거쳐 민간 정보보호제품 평가기관으로 승인할 계획이다.

　국정원 관계자는 “정보보호 제품 평가에 대한 적체 현상이 심각한 상황으로 민간평가기관을 설립해 신속한 평가 서비스가 제공되길 기대한다”며 “이를 통해 평가 인력을 양성하고 국제 수준의 평가 기관 운영체계를 확립할 수 있다”고 설명했다.

　 김인순기자@전자신문, insoon@