국가·공공기관에 도입되는 정보보호 제품 인증요건이 다양화됐다. 공통평가기준(CC) 인증과 암호모듈 검증(KCMVP) 중심에서 GS인증과 성능평가까지 확장됐다. 정보보호 제품 유형에 따라 사실상 중복 적용되던 다양한 평가·인증 방식을 선택할 수 있는 길이 열렸다.

공공기관에 네트워크·정보보호 제품을 도입할 때 보안적합성 검증을 대체할 수 있는 ‘보안기능시험결과서(일명 시험성적서)’ 발급 대상도 ICT 전 제품으로 확대된다. 다만 강화된 시험기준이 적용되고 유효기간 정책도 변경된다.

현재 CC인증을 반드시 받아야하는 인증요건 필수 제품 유형으로 분류돼 있는 정보보호 제품 24종 가운데 스팸메일 차단시스템, 패치관리시스템, 망간 자료전송 제품은 앞으로 국가·공공기관 납품시 CC와 GS인증을 선택해 받으면 된다. GS인증은 ISO/IEC25023, 국가용 보안요구사항을 준수해 받은 경우가 해당된다.

현재 GS인증 시험·인증기관인 한국정보통신기술협회(TTA)에서 ISO25023 국제표준규격과 국가보안요구사항을 추가한 GS인증을 준비하고 있다.

디도스(DDoS) 대응장비, 안티바이러스(백신), 소스코드 보안약점 분석 도구는 한국인터넷진흥원(KISA)이 시행하는 국가 보안요구사항을 준용한 성능평가만 거치면 CC인증 없이도 국가·공공기관 도입이 가능해졌다.

<출처 : 국가정보원(NIS) 홈페이지>

보안적합성 검증 생략·대체하는 ‘보안기능시험결과서’ 제도 ICT 전 제품으로 확대

그동안 국가·공공기관에 도입되는 정보보호 제품은 CC와 보안적합성 검증을 받아야 했다. 국내용 CC인증 제도가 생긴 뒤 이 인증을 받은 제품은 보안적합성 검증을 면제해주는 방식으로 절차가 간소화됐다.

지난해부터는 보안기능시험을 사전에 받아 결과서를 발급받은 네트워크 장비(L3 이상)와 소프트웨어정의네트워킹(SDN) 컨트롤러, CC인증을 받은 일부 정보보호 제품을 대상으로 보안기능시험결과서를 받으면 보안적합성 검증을 생략할 수 있는 제도가 시행됐다. <관련기사 – 네트워크·정보보호제품 ‘시험성적서’ 발급제도 시행…보안적합성 검증 대체>

이 제도 시행 전에는 국가용 보호프로파일(PP)를 준용하지 않고 국제CC인증을 받은 제품은 보안적합성 검증을 반드시 추가로 거쳐야 했지만, 보안기능시험결과서를 사전에 발급받은 제품을 국가기관이 도입하면 ‘도입확인서’만 국정원에 제출하면 된다.

해외에서 CC를 받은 외산 정보보호 제품도 보안기능시험결과서를 발급받아 보안적합성 검증을 추가로 거치지 않아도 된다는 얘기다.

15일 오후 열린 설명회에서 국정원 관계자는 “국가·공공기관에 제품을 납품하기 전에 보안기능시험결과서를 미리 발급받으면 도입기관이 별도의 보안적합성 검증을 신청해 받는 행정절차가 없어진다. 기관이 사용하는 보안기능을 사전에 검증할 수도 있다”고 보안기능시험결과서 제도의 의의를 설명하면서 “도입확인서는 공공기관이 제품을 도입할 때마다 제출하는 것이 아니라 반기 또는 분기별로 제출하도록 안내하고 있다”고 말했다.

<출처: 국가정보원(NIS) 홈페이지>

시험결과서 발급 시험기준 강화, 유효기간도 차등화…효력유지 최장 3년

국정원은 지난해 1월부터 한시적으로 시행키로 한 보안기능시험결과서 발급제도를 오는 2020년 12월 31일까지 연장하기로 했다. 대신에 2019년 1월 1일부터는 강화된 시험기준과 변경된 유효기간 정책을 적용한다.


[AD] 금융권을 위한 멀티 클라우드 애플리케이션 서비스 전략

시험결과서 발급 대상 제품군은 네트워크 장비와 소프트웨어정의네트워킹(SDN) 컨트롤러 장비, 국제CC인증 제품(필수유형 제품 24종)이었는데, 앞으로는 전체 ICT 제품으로 확대한다. 다만 가상화와 모바일 제품군은 아직까지 국내외에서 평가사례가 드물어 국제CC인증 현황을 참고해 차후 발급 시기를 정할 계획이다.

보안기능시험결과서 대상 제품이 확대되면서 발급기준은 강화된다. 기존 기본 보안요구사항 이외에 제품별 필수보안항목 시험기준이 추가 적용된다. 시험을 신청하는 기관이나 기업이 보안기능 수준을 선택해 받을 수 있다.

유효기간도 기존에는 1년, 1회에 한해 연장 가능해 최장 2년까지 효력을 유지할 수 있었는데 앞으로는 보안기능 수준에 따라 차등화 된다. 기본 보안요구사항과 필수보안기능항목을 충족한 제품은 2년의 유효기간이 부여된다. 연장신청하면 최대 3년까지 효력을 유지할 수 있다. CC인증 제품의 보안기능시험결과서 유효기간은 기본 1년이다.

다만 CC인증 제품의 경우엔 필수보안기능 충족 여부와 무관하게 보안기능시험결과서가 발급될 수 있다. CC인증 유효기간까지만 인정된다.

올해 6월 30일까지 시험결과서 발급 제품 유효기간 연장

국정원은 올해 1월부터 6월 30일 이전까지 시험결과서를 발급받은 제품은 강화된 시험기준에 맞게 보완할 수 있도록 유효기간을 연장할 수 있도록 허용한다. 2019년 6월 30일까지만 유효하며, 이후 효력을 유지하기 위해서는 새로운 기준이 적용됨에 따라 필수보안기능 충족 여부를 확인받아야 한다.

새롭게 시험에 추가되는 핵심보안기능 규격은 네트워크 장비와 SDN 장비의 경우 이미 정해져 있지만 그 외에 새롭게 추가되는 제품들은 시험기관과 검증기관이 협의해 마련해야 한다. 업체들은 시험기관과 협의하면 된다.

국정원은 “2019년 1월 1일부터 새로운 보안기능시험기준이 공식 적용되지만 그 이전이라도 언제든 원하면 시험을 신청해도 된다”라면서 “각급기관에는 국정원 홈페이지 공지와 공문, 정보공유시스템 게재 등 다양한 방법으로 변경되는 도입절차와 요건, 보안기능시험발급제도 관련사항을 안내하고 있다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network