네트워크·정보보호제품 ‘시험성적서’ 발급제도 시행…보안적합성 검증 대체

네트워크 장비와 정보보호 제품의 보안기능을 평가해 ‘시험성적서’를 발급하는 제도가 시행된다. 공통평가기준(CC) 평가기관 등 공인된 시험기관으로부터 보안기능 평가를 거쳐 시험성적서를 발급받은 네트워크 장비와 정보보호 제품은 국가·공공기관에 도입되더라도 보안적합성 검증을 별도로 받지 않아도 된다.

국내용 공통평가기준(CC) 인증을 받은 정보보호 제품을 도입할 경우 보안적합성 검증이 생략되는 절차와 유사하다.

국가정보원은 스위치·라우터 등 L3 이상 네트워크 장비를 대상으로 시행해온 이 제도를 정보보호 제품으로도 확대 시행한다.

국정원이 모든 국가·공공기관을 대상으로 보안적합성 검증을 직접 시행해왔던 기존 방침도 최근 완화했다.

올해 7월부터는 네트워크 장비뿐 아니라 정보보호 제품을 도입하는 기관 가운데 중앙행정기관과 소속기관, 광역시도와 광역시도 교육청, 주요정보통신기반시설 이외의 기관은 국정원 직접 검증 대상기관에서 제외됐다.

산하기관과 기초지자체, 교육지원청과 학교 등은 국정원에 보안적합성 검증을 직접 신청하지 않아도 된다. 행정기관장 책임 아래 각 기관이 기존 보안적합성 검증방식을 직접 선택할 수 있게 됐다. 기존 보안적합성 검증 절차를 밟지 않더라도 국내용 CC인증 제품을 도입하거나 시험성적서 발급제도 등을 활용하면 된다.

중앙행정기관과 소속기관, 광역시도와 광역시·도 교육청, 주요정보통신기반시설도 국정원에 직접 적합성 검증을 신청하지 않고 새롭게 시행되는 시험성적서 발급체계를 활용할 수 있다. 다만 이들 기관은 국가정보원으로부터 직접 확인을 받아야 한다.

nis기관 책임성과 자율성을 높이면서도 보안적합성 검증절차를 보다 효율적으로 수행할 수 있도록 제도를 개선했다는 것이 국정원의 설명이다.

국정원은 지난 2일 국내외 네트워크·정보보호 업체 등을 대상으로 이처럼 변경 시행되는 보안적합성 검증제도 설명회를 열었다.

CC인증 외에도 사전에 시험성적서를 발급받은 제품을 도입해 보안적합성 검증절차를 간소화하려는 국가·공공기관의 요구에 대비할 수 있도록 공지했다.

이에 따라 국내용 CC평가·인증을 받지 않은 제품군을 보유한 네트워크·정보보호 제품 개발·제조사들은 앞으로 증가될 것으로 예상되는 국가·공공기관 요구에 대비하기 위해 시험기관을 선정해 시험성적서 발급을 위한 평가 준비·절차에 착수해야 할 것으로 보인다. 외산 솔루션 공급업체들의 관심이 높을 것으로 예상된다.

보안기능 평가·시험성적서 발급 담당기관은 네트워크 장비 시험기관인 ▲한국전자통신연구원(ETRI) ▲한국정보통신기술협회(TTA)와 정보보호제품 시험기관(CC평가기관)인 ▲한국인터넷진흥원(KISA) ▲한국아이티평가원(KSEL) ▲한국산업기술시험원(KTL) ▲한국시스템보증(KOSYAS) ▲한국정보보안기술원(KOIST) ▲한국기계전기전자시험연구원(KTC) ▲TTA까지 총 8곳이다.

민간 평가기관을 포함한 이들 시험기관은 새로운 먹거리가 생겼다. 국정원은 이들 기관이 CC평가와 시험성적서 발급을 위한 보안기능 평가를 분리 운영토록 가이드라인을 제시했다.

nis_p평가를 신청해 시험성적서를 받을 수 있는 제품은 공공기관 납품 계약을 예정하고 있거나 납품 실적이 있는 경우, 조달 등록된 제품 등이다. 시험 의뢰시에는 납품 계약서나 실적서 등을 제출해야 한다.

시험성적서 발급 대상 제품은 검증기준이 이미 제시돼 있지만 국내용 CC인증 또는 국가용 보호프로파일(PP) 보안규격을 준수해 인증받지 않은 경우다. 국제용 CC인증 제품과 국가용 보안규격 등이 마련돼 있지 않은 신규 네트워크·정보보호 제품이 해당된다.

CC인증 필수제품 유형으로 지정돼 있는 침입차단시스템(FW), 침입방지시스템(IPS), 통합보안관리제품(ESM) 등 24종의 정보보호시스템은 현재 보안기능요구사항이 제시돼 있다.

L3 이상 네트워크 장비는 ▲식별 및 인증 ▲암호지원 ▲정보흐름통제 ▲보안관리 ▲자체시험 ▲접근통제 ▲전송데이터 보호 ▲감사기록 등 44개 보안기능 항목을 기준으로 보안기능 구현 여부 등을 점검한다.

신규 제품은 업체 등으로부터 보안규격을 제안 받아 시험·적용규격을 개발·시행해나갈 예정이다. 시험 규격과 시험 결과 검토는 국가보안기술연구소와 국정원이 담당한다.

발급된 시험성적서 유효기간은 1년이다. 동일 버전의 경우 1회에 한 해 재발급이 허용된다.

성적서에는 제품명과 펌웨어 등 소프트웨어 버전, 평가기관, 평가자, 유효기간, 보안기능별 시험결과 등이 담기게 된다.

시험기관에 평가를 신청하면, 3주에서 5주 이내에 시험성적서를 발급할 수 있을 것으로 국정원은 보고 있다.

국정원 관계자는 “국가·공공기관이 스스로 주관해 보안적합성 검증을 보다 자율적·효율적으로 수행하기 위한 방향에서 정책을 다변화했다”며 “시험범위는 보안기능만을 대상으로 하고 있어 CC평가 대비 시험기간이 단축되고 비용도 적게 소요될 것”이라고 설명했다.

국정원은 시험성적서 발급제도를 통한 보안적합성 검증 대체 정책을 오는 2018년 12월 말까지 한시적으로 운영해본 뒤 관련정책 유지·변경 여부 등을 결정한다는 방침이다. 그 과정에서 관련제도 추가 손질 가능성도 열어놨다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다