국가 공공기관에 정보보호 제품을 공급할 때 반드시 거쳐야 하는 `보안적합성 검증` 문턱이 낮아진다.
국가정보원은 보안적합성 시험성적서 제도를 시행한다. 국정원이 모두 처리하던 보안적합성 검증시험을 공통평가기준(CC) 평가기관으로 분산했다.
국가 공공기관은 보안 기능이 포함된 정보기술(IT) 제품 도입 때 국정원에 보안적합성 검증을 신청한다. 주요 기밀과 정보를 취급하는 국가 공공기관이 믿고 써도 되는 제품인지 검증하는 제도다. 국가 공공기관은 보안 제품을 도입하려면 국정원의 보안적합성 검증을 위해 한 달에서 석 달까지 소요했다.
시험성적서 제도가 시행되면 기간이 오래 걸리는 보안적합성 시험을 외부 평가 기관도 수행한다. 국정원과 국가보안기술연구소 업무가 분산되면서 보안적합성 검증 시간을 단축한다. 시험성적서 발행과 검증에 약 5주가 소요될 것으로 보인다.
국정원에 보안적합성 검증을 신청하지 않고 시험성적서로 대체할 수 있는 곳은 산하 기관, 기초지방자치단체, 교육지원청, 학교 등이다. 이들은 업체가 받아 온 제품별 보안적합성 시험성적서에 기반을 두고 기관 스스로 보안적합성을 판단한다.
중앙행정기관과 소속기관, 광역 시·도와 광역 시·도 교육청, 주요 정보통신 기반 시설도 시험성적서를 이용할 수 있다. 도입 기관은 대상 제품 시험성적서를 활용해 적합성 시험을 대체하며, 국정원에서 검증을 받는다.
국정원 측은 7일 “보안적합성 시험성적서 제도 시행으로 행정기관이 스스로 적절한 보안 제품을 도입할 수 있는 길을 열어 자율성을 강화했다”면서 “국정원과 국보연에 몰려 있던 보안적합성 검증 업무를 분산, 공공기관과 보안업체 업무를 효율화한다”고 설명했다.
보안업계는 이 제도 시행으로 글로벌 기업의 시장 진입 장벽이 낮아진 것으로 분석했다. 그동안 국내 CC인증을 받은 정보보호 제품은 보안적합성 검증 없이 공공기관에 들어갔다. 국제 CC인증을 받은 글로벌 기업은 국정원의 보안적합성 검증을 받아야 했다. 글로벌 보안 기업은 평가 기관에서 제품 시험성적서를 받아 국정원의 보안적합성 검증에 활용한다.
일부 보안 기업은 시험성적서 발행 수수료 부담을 토로했다. CC인증에 시험성적서 비용까지 늘어나는 탓이다. 기존의 보안적합성 검증은 별도 비용이 발생하지 않았다.
보안 기능 평가와 시험성적서 발급은 △한국전자통신연구원(ETRI) △한국정보통신기술협회(TTA) △한국인터넷진흥원(KISA) △한국산업기술시험원(KTL) △한국시스템보증(KOSYAS) △한국아이티평가원(KSEL) △한국정보보안기술원(KOIST) △한국기계전기전자시험연구원(KTC) 등 8개 기관이 수행한다.
김인순 보안 전문기자 insoon@etnews.com
