"CC인증 문 턱 높이고 불필요한 부담 줄인다"

　완성도 높은 보안 제품을 우선적으로 인증하기 위해 국제공통기준(CC) 인증 진입 절차는 까다로워지고, 보호프로파일 등급 조정으로 서류제출과 같은 불필요한 부담은 줄어든다.

　국가정보원 IT보안인증사무국은 제출물 완성도 90% 미만 제품은 인증계약 자체를 맺지 않는 동시에 침입방지시스템 등 8종 보호프로파일은 보증등급과 평가기준을 재조정했다고 24일 밝혔다.

　이는 완성도가 높지 않은 제품까지 인증테스트를 하기 위해 시험 대기기간이 늘어나게 됨을 감안해 마련한 것으로, 국정원은 계약 당시 제출물 완성도를 검토하는 전담 검토관까지 별도로 둘 계획이다. 이와 함께 기능이 제대로 동작을 하지 않는 제품의 경우 시험 순서를 가장 뒤로 보내 완성도 높은 제품만을 시험한다는 전략이다.

　이와 함께 CC 2.3에서 3.1로 재조정한 기준에 따라 기업들은 제출 서류 부담이 줄어들어, 보다 빠른 시간 안에 CC인증을 받을 수 있게 됐다. CC 2.3의 경우 취약성 분석서를 기업이 작성해야 했지만 3.1 버전은 취약성 분석서를 평가자의 몫으로 규정했기 때문에 기업의 작성 부담이 줄어든다. 또한 서류 항목 중 중복된 사항이 많았지만 중복 사항을 빼도록 함으로써 평가시간도 줄일 수 있도록 했다.

　또, 국내외 레퍼런스를 기준으로 보증등급을 재조정함으로써 제출 서류 규모도 줄였다. 일반적으로 EAL 3+나 4 등급에서 3으로 하향조정되면 제출서류가 4000페이지 정도에서 2000페이지 가량으로 줄어든다. 국정원은 침입방지시스템과 같은 네트워크의 가장 앞 단에 있는 제품은 보증등급을 높이는 한편 해외 레퍼런스 평균적으로 보증등급을 더 낮게 적용하는 제품들은 낮췄다.

　국정원은 나머지 6종 보호프로파일도 오는 6월까지 재조정을 완료할 계획이다.

　국정원 관계자는 “인증 제도 개선에 따른 후속조치의 일환으로 정보보호 제품의 특성과 국내외 사례를 분석해 합리적으로 재조정했다”고 말했다.

문보경기자 okmun@