국정원, 내달부터 새 보안적합성 검증제도 적용

　오는 6월 1일부터 공공기관에 보안 제품을 납품하기 위해서는 보안적합성 검증필 목록에 포함돼 있는 제품도 국제공통평가기준(CC)인증을 받은 후 보안적합성검증을 다시 받아야 한다. 또 내년 6월 1일부터는 보안적합성 검증필 목록이 폐지되기 때문에 보안적합성 검증만을 받았던 일부 제품들도 공공기관 공급을 위해서는 반드시 CC인증을 받아야 한다.

　국가정보원은 일부 개정된 보안적합성검증제도를 6월 1일부로 시행하고 내년 5월 31일까지만 기존 보안적합성 검증필 목록을 유지한다고 13일 밝혔다.

　암호화 제품 등 일부 제품은 CC인증을 받지 않고 보안적합성 검증만을 받고 공공기관에 납품해 왔기 때문에, 이런 제품도 CC인증을 받을 수 있는 시간을 주기 위해 검증필 목록은 1년 유예 기간을 뒀다.

　이번 조치는 보안 제품의 공공기관 공급 절차를 간소화하기 위한 것으로, 보안적합성 검증을 공공기관 공급과 함께 진행하도록 함으로써 공급 기간을 단축했다.

　기존에는 CC인증을 받은 후 보안적합성 검증까지 받아야 해서 공급 시까지 많은 시간이 걸렸다. 제도 개선에 따라, 앞으로는 보안 적합성 검증 신청은 정보보호제품을 도입하는 기관장이 제품 도입과 함께 동시에 해야 하며, 공공기관은 보안적합성 검증 결과에 따라 나타난 취약성을 보완한 후 사용해야 한다.

　국가와 공공기관 장은 정보보호제품의 안정적인 운용을 위해 제품 도입 시부터 최소 3년 이상 유지보수가 가능한 업체의 제품을 선정하도록 해 사후관리도 납품 평가기준으로 작용하도록 명시했다.

문보경기자 okmun@