CC인증 목록 없는 융합보안제품, 공공기관 진입 문턱 낮아진다

공공기관의 신개념 보안 솔루션의 도입이 쉬워진다.

지능형지속위협(APT) 대응 솔루션과 차세대 엔드포인트 탐지·대응(EDR) 등 24개 국제공통기준(CC) 인증 목록에 포함되지 않는 신개념 융합보안솔루션 공급에 숨통이 트인다.

국가정보원은 15일 서울 강남구 역삼동 과학기술회관에서 설명회를 열고 기존의 네트워크장비와 국제CC 인증 제품에 한정된 보안 기능 시험결과서 대상을 전체 정보통신기술(ICT) 제품으로 확대했다. 기존의 보안 기능 시험결과서 제출 제품의 유효기간도 일괄 연장했다. 국정원은 2016년 7월 1일부터 2018년 12월 31일까지 네트워크와 일부 보안 제품 보안 기능 시험결과서 제도를 운용하다가 이 제도의 시행 기간을 2020년 12월 31일까지 연장했다.

Photo Image
GettyImages

모바일과 가상화 제품은 보안 기능 시험결과서로 보안 적합성 검증을 대체할 수 없다. 국정원은 모바일과 가상화 관련 보안 제품은 아직 국내외에서 시험 평가 사례가 드물어 포함시키지 않았다고 밝혔다.

국가·공공기관은 네트워크 장비나 정보보호 제품을 도입할 때 반드시 국정원 '보안 적합성 검증'을 받는다. 주요 기밀과 정보를 취급하는 국가·공공기관이 믿고 써도 되는 제품인지 검증하는 제도다. 그러나 국정원 보안 적합성 검증에 몇 달이 걸리기 때문에 업계 원성이 높다.

국정원의 보안 적합성 검증은 무료이지만 보안 기능 시험결과서를 받으려면 외부 평가기관에서 유료 시험을 해야 한다. 보안 기능 평가와 시험결과서 발급은 한국전자통신연구원(ETRI), 한국정보통신기술협회(TTA), 한국인터넷진흥원(KISA), 한국산업기술시험원(KTL), 한국시스템보증(KOSYAS), 한국아이티평가원(KSEL), 한국정보보안기술원(KOIST), 한국기계전기전자시험연구원(KTC) 등 8개 기관이 수행한다.

신개념 융합 보안 솔루션 개발사는 그동안 공공기관 진출에 어려움을 겪었다. 새로운 제품을 개발하고도 CC 평가 보호프로파일(PP)가 없어 인증을 받지 못했다. 국내 CC 인증을 받으면 보안적합성 검증 없이 공공기관에 들어간다. 공공기관은 CC 인증이 없는 제품의 도입을 꺼린다. CC 인증 목록 24종에 들지 않는 융합 보안 신제품은 앞으로 보안 기능 시험결과서를 내면 공공기관에 들어간다.

국정원은 보안기능시험에 필요한 기본 보안 요구 사항을 완성했다. 국가 공공기관에 들어가는 정보기술(IT) 제품이 갖춰야 할 기본 보안 요구 사항이다. 제품별로 특화한 보안 요구 사항 시험을 받으면 된다.

Photo Image
보안기능시험 결과서 발급과 제품 도입 절차(자료:NIS)

국정원에 보안 적합성 검증을 신청하지 않고 보안 기능 시험결과서로 대체하는 곳은 산하기관, 기초지방자치단체, 교육지원청, 학교 등이다. 중앙행정기관과 소속기관, 광역시·도와 광역시·도 교육청, 주요 정보통신 기반 시설도 보안 기능 시험결과서를 이용한다. 도입 기관은 대상 제품 보안 기능 시험결과서를 활용해 적합성 시험을 대체하며, 국정원에서 검증을 받는다.


김인순 보안 전문기자 insoon@etnews.com


브랜드 뉴스룸