정보보호제품 신속확인제 내달 시행
평가기준 마련까지 적용…인증 비용·시간 절감
우수기술 솎아내 신뢰 높이고 공공기관 인식 전환 필요
정보보호제품 신속확인제도 도입은 혁신 정보보호 제품의 개발, 시장 진입을 활성화하기 위한 조치다. 기존 평가 기준에 부합하는 제품만 도입한 공공 보안 시장의 변화로 이어질 지 관심이다. 신속확인제도의 신뢰성 확보와 동시에 공공기관의 인식 변화가 관건이다. 우수 신기술을 선별하고 공공기관이 이를 받아들이는 선순환이 이뤄져야 한다는 지적이다.
◇신속확인제도 시행
기존 보안 제품 평가 제도는 경직적으로 운용됐다. 일례로 CC인증은 국가정보원 국가용보안요구사항에서 규정한 20여개 제품에 대해서만 인증이 가능하다. 이를 벗어난 신기술, 융·복합제품은 인증 자체가 불가능했다. 대안으로 올 1월부터 국가·공공기관 정보보호제품 공급 요건에 CC인증, 성능평가와 더불어 보안기능확인서가 추가됐지만, 제도 안착이 요원하다. 아직 보안기능확인서를 받은 신기술, 융·복합제품이 없을 정도다. 제품 규격을 제조사가 만들어 제품 성능 등을 입증하는 일반 보안요구사항을 수립하는 과정이 지나치게 까다롭다는 지적이다. 절차나 기준이 확립되지 않아 시험기관 주문에 따라 서류·기술보완 작업을 반복하는 등 시행착오가 반복되고 있다.
신속확인제도는 이같은 상황을 타개할 대안으로 주목받는다. 최소한 절차와 인증 기준으로 보안 제품을 평가한 뒤, 평가 기준이 마련될 때까지 공공부문에 제품을 적용할 수 있도록 하는 제도다.
과학기술정보통신부는 이르면 다음 달 정보보호제품 신속확인제를 시행한다. 신기술, 융·복합 보안 제품을 개발한 기업은 모두 신청할 수 있다. 취약점점검과 소스코드 보안약점진단 등 보안점검과 기능시험을 통과해야 확인서가 발급된다. 확인서가 발급된 제품은 기존 평가 제도의 평가기준이 마련될 때까지 공공기관에 적용할 수 있다.
정보보호 업계는 인증에 투입되는 과도한 비용, 시간의 효율화를 기대했다.
보안 기업 관계자는 “신속확인제도는 기존 보안 평가 제도와 달리 네거티브 규제 성격을 보인다”며 “확인서를 받은 보안 제품을 도입하고 발전시켜 나간다면 산업 측면에서도 유리하게 작용할 것”이라고 설명했다.
◇보안적합성검증제도 개편
국정원은 신속확인제 시행에 맞춰 보안적합성검증 제도를 개편한다.
보안적합성검증은 국가 정보통신망의 보안수준을 제고하기 위해 국가·공공기관이 도입하는 정보보보시스템·네트워크 장비 등 보안기능이 탑재된 IT 제품의 안전성을 검증하는 제도다. 현재 CC인증, 보안기능확인서 등을 받으면 보안적합성검증을 대체할 수 있다.
국정원은 기관에 따라 보안적합성검증 제도를 차등 적용할 계획이다. 공공기관을 가·나·다 등급으로 세분하고 나·다급은 신속확인으로 보안적합성 검증을 대체할 수 있도록 운영 지침을 개정할 예정이다.
국정원 방안에 따르면 중앙행정기관, 외교안보시설, 정보통신기반시설, 광역지자체 등은 가급시설로 분류된다. 전파관리소, 일반 공공기관, 지방경찰청, 연구소, 대학교, 기초지자체 등은 나급, 각급학교(초등학교, 유치원), 지자체 산하기관, 기초지자체(시,군,구)는 다급이다.
가급 기관은 검증필제품만 도입할 수 있다. 이외 제품은 보안적합성 검증을 신청해야 한다. 나급 기관은 국제CC, 신속확인 등을 거친 제품은 보안적합성 검증 없이 도입할 수 있다. 다급 기관은 보안적합성검증 생략요건을 자율적으로 판단, 적용할 수 있도록 했다.
국정원은 전체 공공기관 중 가급 비율이 15% 불과해 신속확인제가 실효를 내는 데 문제가 없을 것으로 보고 있다.
국정원은 이와 함께 보안기능시험제도 관련 가이드, 절차서를 제작, 기업을 지원한다.
다음 달 보안기능시험제도 제출물 작성을 위한 가이드, 샘플문서를 제시하고 기업의 보안기능시험제도 이해도를 높이기 위한 지원활동에 나설 계획이다. 도입절차, 일반보안요구사항 작성법, 기타 제출물 작성방안 등 기업 역량강화를 위한 교육이 포함된다. 연말엔 '국가용보안요구사항 각 항목별 시험절차서'를 발간할 예정이다.
◇공공기관 안착 관건
신속확인제도가 안착하려면 제도 신뢰성 확보와 공공기관의 인식전환이 필수다.
제도 시행 초기 우수 혁신 기술을 대상으로 확인서 발급이 이뤄지는 것이 무엇보다 중요하다.
보안기업 관계자는 “신속확인제도가 시행되면 다수 제품의 확인서 발급 신청이 이뤄질 것”이라며 “최신 기술을 반영한 우수 기술 중 보안성이 인정된 제품에만 확인서가 발급돼야 제도 자체의 신뢰성이 확보될 것”이라고 말했다.
제도 시행 초기, 공공기관이 우수 신기술, 융·복합 보안 제품 도입에 적극적으로 나설 수 있도록 지원을 제공하는 방안도 필요하다. 신속확인을 거친 제품이 조달 시장에서 우대를 받을 수 있는 후속 조치도 이뤄져야 한다. 현재 굿 소프트웨어(GS)인증 또는 CC인증 중 하나를 획득해야 조달청의 나라장터 종합쇼핑몰에 수의계약 대상으로 등록할 수 있다. 보안업계는 신속확인제도 확인서를 받은 제품도 수의계약을 허용해야 한다는 입장이다.
과기정통부는 신속확인제도 기능시험을 GS인증의 기능 관련 평가항목 수준으로 받게 하거나 GS인증 획득 때 기능시험을 대체하는 방안을 검토중이다.
과기정통부 관계자는 “신속확인제도 확인서를 발급받은 제품이 GS인증까지 받게 되면 조달시장에서 바로 3자 단가계약 대상이 될 수 있다”고 설명했다.
[표] 신속확인 절차
[표] 보안적합성검증제도 개편(안)
최호기자 snoop@etnews.com