정보보호 평가기준 혼란 우려

　내년 정보보호 제품 공통평가기준(CC)이 2.3버전에서 3.1버전으로 바뀌어 관련 업계의 발빠른 대응이 요구된다.

　10일 국정원 IT인증사무국에 따르면 내년 4월부터 CC 및 방법론(CEM) 3.1버전이 의무 적용될 예정이다.

　이에 따라 내년 4월부터 평가인증 업무에 3.1버전이 시범 적용되며 6월부터는 방화벽과 침입탐지시스템(IDS) 등 14종의 보호프로파일(PP)이 모두 3.1버전으로 전환된다.

　특히 현재 평가기관과 계약을 맺고 평가를 기다리고 있는 기업의 경우 4월에 평가가 시작되면 3.1버전에 맞춰 평가를 받아야 해 2.3버전에 맞춰 평가를 준비해 온 기업들의 혼란이 예고된다.

　실제로 대기기간이 가장 긴 한국정보보호진흥원과 평가 계약을 맺은 기업 중 내년 4월 이후에 평가가 시작될 수 있는 기업도 있어 이에 대한 대처가 요구된다.

　CC 3.1버전은 이전 버전과 달리 요구 사항이 상세화됐으며 보안기능 요구 사항 등이 기존 2.3버전과 비교해 전면 개편됐다. CC 3.1버전에서는 통합보안 솔루션 등 복합 제품에 대한 평가를 위해 복합 클래스 등이 추가돼 각 기업 담당자들은 이에 맞춰 평가를 준비해야 한다.

　이에 민간평가기관인 한국시스템보증은 3.1버전의 CC인증 의무화 등을 고려해 추가로 평가 계약을 체결하지 않고 있다.

　조대일 한국시스템보증 사장은 “내년 평가 기준이 전세계적으로 변경되면서 평가 작업에 많이 변화한다”며 “이에 대한 혼란을 줄이려고 평가계약 시점을 조절하고 있다”고 밝혔다.

　업계의 한 평가 담당자는 “평가 기준이 바뀌면 제출물의 내용과 양이 많이 달라지기 때문에 평가 시점에 대한 판단이 요구된다”며 “대기기간이 긴 경우에는 2.3버전과 3.1버전에 대한 준비를 모두 해야 하는 상황”이라고 설명했다.

　김인순기자@전자신문, insoon@