보안적합성 검증 사후관리 강화한다

　정보보호제품에 대해 보안적합성 검증을 받은 후 무단으로 형상을 변경하는 행위가 엄격히 제한된다. 또 신규 기능이 추가되면 새로 검증 신청을 해야 한다.

　국가정보원 IT보안인증사무국은 10일 서울 삼성동 코엑스에서 열린 ‘정보보호제품 보안적합성 검증정책 설명회’에서 보안적합성 검증 제품의 사후 관리를 강화하고 보안적합성 검증 신청 요건을 강화하기로 했다고 밝혔다. 과거엔 제품 형상이 변경되거나 소프트웨어의 대폭적인 업그레이드가 있어도 이전 제품에서 받은 보안적합성 검증을 그대로 사용할 수 있었으나 앞으로는 취약점이 발견되거나 운용체계의 변경 및 보안 기능 추가 등엔 신규 신청으로 보안적합성 검증을 다시 받아야 한다.

　또 사전검토를 강화, 서류 준비가 미비하거나 완성도가 낮은 제품은 보안 적합성 검증 자체를 불가능하게 해 보안적합성 검증 소요시간을 줄이기로 했다. 반면에 보안USB와 완전삭제모듈 등 신규 제품군을 포함해 도입절차서를 개정하고 ‘제출물 작성 요령’을 배포하는 등 기업의 신청 절차를 지원하기로 했다.

　국정원 관계자는 “기능의 큰 변화가 있음에도 신규 검증 신청을 하지 않고 사후관리만 신청하는 등 사후관리 제도를 악용한 사례가 많았다”며 “무분별한 형상 변경이나 과도한 기능 업그레이드로 보안적합성 관련 혼란을 야기하지 않도록 관리할 것”이라고 말했다.

　또 국정원 IT보안인증사무국은 정보보호제품 개발 유도를 위해 ‘IT보안제품 보호프로파일 공모’도 내년 1월 실시한다. 지금까진 국정원 주도하에 정보보호제품에 주로 보호프로파일을 개발해 왔으나 이번 공모에서는 일반 기업이 개발하는 휴대폰이나 소프트웨어 등도 대상으로 포함, 일반 IT 제품도 개발 단계에서부터 정보보호를 염두에 두도록 유도할 계획이다. 현재 삼성전자나 한국마이크로소프트 등이 관심을 가진 것으로 알려졌다.

　이번 설명회에선 국정원이 올해 개발한 전자여권·웹방화벽·문서유출방지·보안 토큰 4종 정보보호제품의 보호프로파일도 공개됐다.

　 한세희기자@전자신문, hahn@