정보보호제품 국제공통평가기준(CC) 인증 업무가 국가정보원에서 미래창조과학부로 이관된다.
미래부가 관련 업무를 맡아 국가 안보에 집중됐던 CC인증 기능이 정보보호 산업 진흥으로 변화할지 관심이 모인다.
12일 미래창조과학부는 최근 국가정보원이 CC인증 업무 이관을 논의해와 검토 중이라고 밝혔다. 홍진배 미래부 과장은 “구체적으로 어떻게 기존 CC인증 체계를 미래부로 이관할지를 논의하는 과정”이라며 “당장 큰 변화는 없지만 점진적으로 미래부가 CC인증 업무를 관장하게 될 것”이라고 설명했다.
국정원이 주도한 정보보호시스템 평가 인증은 민간기업이 개발한 제품에 구현된 보안 기능 안전성과 신뢰성을 보증하는 제도다. 공공기관 등이 안심하고 제품을 사용하도록 지원하며 국가정보화기본법 제38조 및 동법 시행령 제 35조에 근거한다.
국가보안연구소 산하 기관인 IT보안인증사무국은 1998년 2월부터 정보보호시스템 평가 인증제도를 시행했다. 2002년부터 CC에 따라 인증업무를 수행 중이다. 우리나라는 2006년 6월 국제상호인정협정(CCRA)에 인증서 발행국(CAP)으로 가입해 국제 수준에 부합한 평가 인증 제도를 운영한다.
업무가 미래부로 이관되면 CC인증 정책에 변화가 예상된다. 미래부는 국정원보다는 정보보호산업 육성을 주도하는 기관이기 때문이다. 그동안 국정원은 안보에 초점을 맞춰 정보보호 제품 인증에 관한 국가 정책을 결정했다. 평가인증 수행규정과 평가기준방법론, 보호프로파일 등을 수립하고 시행했다. 이외에 인증기관 지정과 철회, 인증기관 보안 관리와 실태를 점검했다.
IT보안인증사무국에도 변화가 예상된다. 현재 국보연 소속인 IT보안인증사무국이 미래부 산하로 편입되거나 아예 업무가 한국인터넷진흥원(KISA)으로 넘어갈 가능성도 배제할 수 없다. IT보안인증사무국은 평가기관 평가 업무를 감독하고 평가가 자격을 관리한다. 평가기관 보안 관리 실태점검에서 인증보고서 작성과 인증서 발급 업무를 한다. 이외에 CCRA 관련 활동과 인증제품에 대한 사후 관리, 평가기관 승인과 취소 등에 관여해왔다.
현재 국가공공기관에 도입되는 정보보호시스템 중 EAL2 등급 CC인증이 필수적인 제품은 방화벽에서 디도스대응장비, 가상사설망(VPN), DB접근통제, 무선랜 인증, 안티바이러스, 소스코드 보안약점 분석도구, 스마트폰 보안관리 등 28개에 달한다.
김인순기자 insoon@etnews.com
