‘선 도입 후 검증제' 실시...평가절차 개선, 개발업무 보안 검증 강화

국가정보원은 2일 '정보보호제품 평가· 인증제도 개선 설명회'를 개최해 "국내용 평가· 인증 제도 개선을 통해 정보보호제품의 평가기간을 6개월에서 3.5개월로 대폭 단축함으로써 평가적체현상을 해소하는 한편, 정보보호제품 보호프로파일(PP)을 개정해 제출물 작성에 소요되는 비용과 시간을 최소화할 것"이라고 밝혔다.

뿐만 아니라, 평가인력을 탄력적으로 운영하고, 평가인력 부족문제를 해결하는 등 과거 평가 지연 및 장기화의 원인을 제거하는 데 중점을 둬 평가 인증 제도를 개선해 나갈 것이라고 말했다.

특히, 기존 정보보호제품에는 EAL4등급이 획일적으로 적용됐으나 4월 중순과 6월에 걸쳐 14종의 정보보호 제품의 보호프로파일 개정 및 등급 조정이 이뤄진다. 이 가운데 침입방지시스템(IPS), 침입탐지시스템(IDS), 등급기반 접근통제시스템, 가상사설망, 보안토큰, 역할기반 접근통제시스템, 무선랜인증시스템 등 7종의 정보보호제품은 기존 EAL4, 4+에서 'EAL3'으로, 지문인식시스템과 스팸메일차단시스템은 각각 EAL2+, EAL3에서 EAL2로 하향 조정된다.

EAL3등급의 국내용 CC인증의 경우 3개월 내 평가 완료가 가능해 앞으로 보안업체들의 공공시장 진출 시기를 앞당길 수 있을 것으로 기대된다.

또한 공공기관들은 지난해부터 CC인증과 보안적합성 검증필을 획득한 제품만 도입 가능했으나 이제 'EAL2이상의 국내외 CC인증'을 받았거나 '보안적합성 검증필을 획득한 암호모듈'은 도입기관의 자율적인 선택에 의해 도입하게 된다.

가나다 등급의 제품 보안등급제가 폐지되고, 보안적합성 검증 관련 '선 도입, 후 검증' 제도가 전면 도입되어, 국내외 보안업체들의 공공사업 확대가 더욱 수월해지게 됐다. 도입 기관들도 제품 도입 시기를 늦추면서까지 보안적합성 검증필을 획득하기만을 기다릴 필요가 없게 됐다.

국정원은 "평가신청 시 구비서류 및 작성 방법의 변경, 평가기관 작성 산출물 간소화 등의 제도 개선으로 평가 준비 및 평가 기간이 줄고, 업체 부담이 최소화될 것으로 기대한다"며 "국가기관의 정보보호 제품 도입 시 보안적합성 검증체계를 과거 문서 검토에서 현장운용시험으로 바꾸고 앞으로는 보안제품에 대한 '사후관리(변경승인/ 재평가) 강화'에 중점을 둘 것"이라고 강조했다.

"완성도 높은 제출물만 평가 계약 맺는다"= 국정원은 제출물 검토기준을 마련해 일정수준 이상의 보안 제품만 CC인증평가 계약을 체결하도록 한다는 방침이다. 이는 평가 진행 과정에서 문제 발생으로 평가가 중단될 경우, 평가 대기 업체의 인증평가에 차질이 없도록 하기 위한 것이다.

제출물 검토 결과를 일관성 있게 유지하기 위해 '제출물 검토 전담반'을 운영할 예정이다.

"기존 보안적합성 검증 효력은 올해까지"= 2009년부터 기존 보안적합성검증 제도가 폐지된다. 앞으로 보안제품의 '선 도입 후 검증' 제도가 도입되며, 도입기관은 보안적합성검증을 받을 때 보안적합성 검증신청서와 기관에서 사업을 공시할 때 배포했던 기술제안요청서(RFP)를 제출하면 된다.

국정원은 "국내외 EAL2이상 CC인증을 받거나 검증필 암호화모듈을 탑재한 제품의 경우 각 기관이 자율적으로 도입하도록 하되, 취약성 있는 제품을 도입해 보안 사고가 날 경우에도 도입 기관에 전적으로 책임을 부여할 것"이라고 전했다.

◆ "개발된 보안 제품에 대한 검증 대폭 강화"= 국정원은 앞으로 용역업체에 의해 개발되는 보안 제품에 대한 검증을 강화할 것이라고 밝혔다.

ERP, CRM, 그룹웨어 등에 탑재되는 보안 기능에 대한 요구가 증대되고 있는 만큼, 관련 시스템과 연계한 보안 제품의 안전성, 운영환경 시험에 중점을 둔다는 계획이다. 또한 올해 디지털복합기의 보안규격을 제정하는 한편, 향후 RFID/USN 신기술에 대한 보안 규격 등 IT보안 제품의 규격을 지속적으로 개발해 보급할 예정이다.


향후 추진 일정

■ 1단계 (08. 4)
- 침입방지제품 등 8종 보호프로파일 등급 개정(4월 중순)
- 국내용 평가제도 개선내용, 평가업무에 적용(즉시)
- 각급기관 정보보호제품 보급정책 개선(즉시)

■ 2단계 (~08. 12)
- 통합보안관리시스템 등 6종 보호프로파일 등급 개정
- 평가기관 평가반 확대 운영 및 컨설팅 업무 활성화 추진

■ 3단계 (09. 1~10. 6)
- 09. 1부터 국내용 최초평가 CC3.1 적용
- 10. 7부터 국내용 재평가 CC3.1 적용
- 10. 6. 30이후 CC 2.3기반 보호프로파일 폐지 및 CC2.3 인증제품 인증효력 유지 신청 불가

■ 4단계 (10. 7~)
- 정보보호제품 평가/인증 제도 국제용으로 일원화 추진










저작권자 © 아이티데일리 무단전재 및 재배포 금지