국정원, 내달부터 바뀐 제도 적용
국방부·방사청 등 국가 주요기관 제외
나·다 그룹 대상 보안검증 절차 간소화
국가·공공분야 정보기술(IT)보안제품 보안적합성검증 대상기관이 중요도에 따라 '가·나·다' 그룹으로 분류된다. 기존 인증제도로 검증이 안 되는 제품은 신속확인제를 통해 공공기관에 적용할 수 있게 된다. 국제 공통평가기준(CC)인증을 받은 제품 또한 추가 보안 검증없이 도입이 가능해진다.
국가정보원은 이같은 내용의 보안적합성검증 체계 개편안을 확정, 다음달 1일부터 시행한다. 〈본지 9월 27일자 1·3면, 29일자 1면 참조〉
보안적합성 검증은 국가·공공기관이 도입하는 방화벽·네트워크 장비 등 IT 보안제품의 안전성을 검증하는 제도다. 국정원법·전자정부법 등에 따라 국정원이 주관한다.
국정원은 보안적합성검증 대상기관을 세 가지 등급으로 분류한다.
가 그룹은 전체 5% 규모로 △중앙행정기관 △주요기반시설관리기관 △국방부 소속·산하기관 △방사청·경찰청 △주요 공공기관 등 국민 안전과 밀접하고 국가 중요시설을 관리하는 주요기관으로, 기존 검증정책을 그대로 적용한다.
나 그룹은 전체 38%로 △중앙행정기관 소속 산하기관 △기타 공공기관 및 각급 대학교 등으로 검증 절차가 간소화된다. 나 그룹 기관은 제품 도입 시 △보안기능확인서 △국내외 CC인증서 △성능평가결과확인서 △신속확인서 등 4개의 사전인증요건 중 하나만 획득해도 보안적합성 검증을 생략할 수 있다.
신속확인제는 CC, 보안기능확인서 등 기존 보안 인증제도에 부합하는 검증 기준이 없는 보안 제품의 보안·기능을 검증하는 제도다. 확인서를 발급받은 제품은 기존 인증제도의 검증 기준이 마련될 때까지 한시적으로 공공기관 설치가 가능하다.
공공기관에 적용하려면 보안적합성검증을 받아야 했던 국제 CC 인증 제품도 추가 검증 없이 설치할 수 있다.
다 그룹은 전체 57%로 △중앙행정기관 산하 위원회 △기초자치단체·산하기관 △초중고 등 각급학교 등이다. 제품 도입 시 자체 판단으로 사전인증요건을 자율 지정할 수 있고 보안적합성 검증도 생략할 수 있다.
변경되는 지침이 시행되면 다급 기관은 신속확인제, 국제 CC 인증 제품을 보안적합성검증 없이 도입할 수 있게 된다. 신·융복합, 외산 보안제품의 공공기관 적용 사례가 늘어날 것으로 예상된다.
그동안 국가·공공분야 기관의 보안중요도가 다름에도 국방부·방위사업청 등 중앙부처부터 일선 초등학교까지 똑같은 보안 검증정책이 적용돼 비효율적이라는 지적과 제도개선의 필요성이 제기돼 왔다.
국정원 관계자는 “개편(안)은 초연결·데이터 중심의 보안환경 변화를 적극적으로 수용하고 규제 해소를 목적으로 한 만큼 업체, 기관의 불편과 부담이 경감되길 기대한다”라고 말했다.
〈표〉 보안적합성 검증체계 개편 핵심 내용
최호기자 snoop@etnews.com