앞으로 보안USB, 자료유출방지, 네트워크 장비, 가상화 관리, 망간 자료전송 제품을 정부·공공기관에 도입하려면 ‘보안기능시험결과서’를 받아야 한다.

당장 내년부터 보안USB, 네트워크 장비, 가상화 관리 제품을 대상으로 시행된다. 네트워크 장비를 제외한 3종은 현재 공통평가기준(CC) 필수 제품이지만 내년 1월부터는 원칙적으로 ‘보안기능시험결과서’ 발급으로 국가·공공기관 도입요건이 변경된다.

‘보안기능시험결과서’ 발급 제도는 지난 2016년 7월 처음 신설해 운영하며 대상을 확대했다. 그간 네트워크 장비(L3 이상) 스위치와 라우터, 네트워크기능가상화(NFV), 소프트웨어정의네트워킹(SDN) 컨트롤러와 사실상 CC인증 등을 받을 수 없는 정보보호 제품을 대상으로 시행돼 왔다.

‘보안기능시험결과서’를 확보해 효력을 유지하고 있는 제품들을 도입하는 국가·공공기관은 보안적합성 검증을 별도로 신청해 받지 않아도 된다. 제품 도입에 필요한 행정절차를 간소화하면서도 사전에 보안기능을 검증할 수 있는 두가지 효과가 있는 제도다.

국가정보원은 30일 과학기술회관에서 보안적합성 검증 정책 설명회를 열고 사전 검증 정책을 강화하기 위한 이같은 제도 시행 계획을 밝혔다.

 

‘선검증 후도입’ 정책으로 국가·공공기관 자료유출 방지 등 보안 강화

이번에 제도가 변경되는 주요 배경에는 정부·공공기관 전산망과 내부망 보안 강화가 있다. 앞으로 단계적으로 적용할 예정이지만 ‘보안기능시험결과서’ 발급 대상이 되는 보안USB, 자료유출방지, 네트워크 장비, 가상화 관리, 망간자료전송 제품들을 국정원은 국가기관 내외부 전산망 간 자료 유통과 유출 방지 관련해 중요 역할을 수행하는 제품들로 봤다. 따라서 ‘보안기능시험결과서’ 제도를 바탕으로 국가·공공기관에 설치되는 제품의 보안기능과 안전성에 대한 사전 검증을 강화한다는 의미다.

‘보안기능시험결과서’를 받은 제품은 별도의 보안적합성 검증 절차가 생략되기 때문에 절차가 간소화된다는 측면도 있지만, 보안적합성 검증제도를 ‘선검증 후도입’으로 전환하겠다는 취지다.

국가정보원 관계자는 이날 설명회에서 “이번 제도 개선 주요 목적은 검증 강화”라며 “국가 공공기관 망분리가 정착되고 확산되는 기조에서 관련 취약제품에 대한 보안검증 강화가 필요하다. 내외부망 간 자료 전송 관련 핵심 역할을 하는 제품들이 악성코드 유입 차단과 내부자료 유출 방지에 제 역할을 못하거나 허물어지면 사고로 직결되기 때문”이라고 말했다.


[AD]IT를 잘 몰라도 데이터분석 하는 방안에 대해 알아보세요

이번에 검증 제도를 바꾸면서 기존에 CC인증 필수제품이던 보안USB, 자료유출방지, 가상화관리, 망간자료전송 제품은 ‘보안기능시험결과서’를 통한 ‘선검증’으로 도입요건이 변경된다. 도입 전에 먼저 검증을 수행해 완료되면 보안적합성 검증필 제품목록에 등재된다.

국정원은 홈페이지에 게재해온 검증필 제품목록을 국가·공공기관만 접속할 수 있는 정보공유시스템으로 이동해 게시할 예정이다. 현재는 검증필 제품목록에 데이터영구삭제 제품들만 게시해왔지만 앞으로는 ‘보안기능시험결과서’는 물론 CC인증과 암호모듈 검증필 제품 등 국정원 보안적합성 검증된 제품이 모두 등록될 예정이다. 검증필 제품목록의 실질적인 ‘부활’이라고도 할 수 있다.

가상화 제품 두가지로 분류, 가상화 관리 제품 유형은 ‘PC·서버 가상화’

아울러 국정원은 이번에 가상화 제품을 두 종류로 구분했다. 새롭게 가상화 관리 제품 유형을 신설했다. 가상화 관리 제품은 PC 가상화·서버 가상화 제품으로, 앞으로 ‘보안기능시험결과서’ 발급을 통한 선검증 대상이다. 가상화 제품은 하이퍼바이저가 해당되는데, 이는 기존대로 CC인증을 대상이다.

국정원은 5종 가운데 1차로 2020년 보안USB, 네트워크 장비, 가상화 관리 제품을 대상으로 시행한 뒤 오는 2021년 호스트 자료유출 방지 제품과 네트워크 자료유출 방지 제품에 적용한다. 2022년부터는 망간 자료전송 제품으로도 확대한다.



이들 제품은 CC인증이 만료된 경우 적용된다. 예를 들어 2020년 3월 31일까지 국내용 CC인증 효력이 유지될 경우 그 때까지는 검증필 제품목록에 포함된다. 하지만 3월 31일 전까지 ‘보안기능시험결과서’를 획득해야만 계속 검증필 제품목록에 등재된다.

‘보안기능시험결과서’의 유효기간은 2년이다.

‘보안기능시험결과서’를 발급 받기 위해서는 공인시험기관으로 지정돼 있는 시험기관에 신청한 뒤 시험 및 결과 검증, 이에 대한 심의 절차 등을 거쳐야 한다. 시험기관은 ▲한국정보통신기술협회(TTA) ▲한국정보보안기술원(KOIST) ▲한국아이티평가원(KSEL) ▲한국기계전기전자시험연구원(KTC) ▲한국시스템보증(KoSyAs) ▲한국인터넷진흥원(KISA) ▲한국산업기술시험원(KTL) 한국전자통신연구원(ETRI) 8곳이다.

<출처: 국가정보원 홈페이지>

네트워크 장비, 선검증 방침에 ‘필수보안기능 100% 충족’ 요건 강화

한편, 이날 설명회에서는 국외산 네트워크 장비 업계 관계자들이 참여해 ‘보안기능시험결과서’ 기반의 ‘선검증 후도입’ 정책 변경에 대해 많은 궁금증과 함께 사업 차질 등 향후 영향에 대해 우려를 표시하기도 했다.

네트워크 장비는 그동안 ‘보안기능시험결과서’ 발급 대상이긴 했지만 보안요구사항 필수보안기능 항목을 모두 충족하지 않더라도 결과서가 발급되는 등 시행 초기 단계에서 그동안 완화된 기준을 적용해 왔기 때문으로 풀이된다. 이번에 국정원이 ‘선검증 후도입’ 방침을 명확히 하면서 앞으로는 필수보안기능을 포함한 보안요구사항이 검증돼야 시험결과서가 나온다.

다만 국정원 관계자는 “네트워크 장비가 검증필 제품 목록에 등재되는 방법은 시험결과서 발급이 유일한 조건은 아니다”라며 “도입 예정기관에서 국정원에 보안적합성 검증을 신청해 적합판정을 받을 경우 목록에 등재될 수 있다. 다만 적합성 검증기간이 해당 기관의 사업기간과 일정이 맞지 않을 수 있으므로 이를 유의해야 한다”고 설명했다.

현재 ‘보안기능시험결과서’가 발급된 네트워크 장비는 100여개다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network