보안적합성검증제도 전면 개편, 정부·공공기관 어떻게 차등 적용되나

By이유지

국가정보원이 국가·공공기관에 도입하는 정보보호(IT보안) 제품의 안전성을 검증하는 보안적합성검증제도를 전면 개편한다. 3만여개의 보안적합성검증 대상기관을 ‘가·나·다’ 세 그룹으로 분류, 검증요건을 차등 적용하는 내용이 골자다.

국정원은 이같은 검증체계 개편안을 마련해 11월 1일부터 시행한다는 계획을 밝혔다.

지난 5일 국정원 국가사이버안보센터가 홈페이지에 게시한 ‘공공분야 도입 IT보안제품 신(新) 보안적합성 검증체계’ 안내서에 따르면, 국민 안전과 밀접하고 국가 중요시설을 관리하는 ▲중앙행정기관 ▲주요기반시설관리기관 ▲국방부 소속·산하기관 ▲방사청·경찰청 등 가장 보안등급이 높은 ‘가’ 그룹(전체의 5%)에는 기존 검증정책이 그대로 적용되지만, ‘나·다’ 그룹은 검증 절차가 간소화되고 인증요건을 자율 지정하거나 심지어 생략할 수 있다.

대체 인증요건에 성능평가, 신속확인서 추가해 확대, 일부는 ‘자율’적용 허용

‘나’ 그룹(전체의 38%)은 중앙행정기관 소속·산하기관 기타 공공기관 및 각급 대학교 등으로, ▲보안기능확인서 ▲국내·외 공통평가기준(CC)인증서 ▲성능평가결과확인서 ▲신속확인서 가운데 하나를 보유한 제품을 도입하는 경우 보안적합성 검증을 받지 않아도 된다. 이전까지 허용된 보안기능확인서, CC인증서 외에 성능평가와 신속확인서가 신기술·신종 융복합 제품의 사전인증요건으로 추가돼, 전체적으로 허용되는 사전인증이 확대·완화되게 됐다. 신속확인서는 보안기능확인서, CC인증 등의 다른 사전인증 기능 유형이 아닌 경우에만 인정된다.

제품 도입시 자체 판단으로 사전 인증요건을 자율 지정할 수 있는 ‘다’ 그룹(전체의 57%)은 ▲중앙행정기관 산하 위원회 ▲기초자치단체·산하기관 ▲초·중·고 등 각급학교 등이다. 이들 기관은 국정원과 사전 협의 없이 자율적으로 보안적합성 검증을 하지 않고 제품을 도입한다는 결정을 내리면 된다. 다만 도입하는 제품의 보안기능에 검증이 필요하다고 판단할 경우, 관계 중앙행정기관을 거치지 않고 국정원에 보안적합성 검증을 직접 신청할 수 있다.

국정원은 도입기준 적용 지침으로 “도입 제품을 실제 설치하는 기관을 기준으로 적용해야 한다”면서 “실제 운용기관의 전산망에 서로 다른 그룹이 혼재한다면 상위 그룹의 도입기준을 적용한다”고 설명했다.

‘가’ 그룹에 기존과 그대로 유지되는 검증정책은 보안기능시험(확인)제도, CC인증제, 성능평가제, 암호모듈검증제와 같은 사전인증 요건을 필수로 준수해 인증을 획득한 IT보안제품만 도입할 수 있다.

이 역시 침입차단제품군, 침입방지제품군, 구간보안제품군, 전송자료 보안 제품군, 가상화제품군, 네트워크 장비 등 8종 40종이 넘는 유형의 제품마다 사전인증요건이 정해져있다. 예를 들어 침입차단시스템(FW)은 보안기능확인서와 CC인증서 중 하나, 침입차단시스템(FW+VPN)은 보안기능확인서와 CC인증서 가운데 하나, 그리고 암호모듈검증필 확인서가 필수다. 다만 보안적합성 검증필 제품목록에 등재된 경우 보안적합성 검증 생략이 가능하다. 신기술·신종 융복합 제품 등 사전인증요건이 없는 경우엔 국정원에 보안적합성 검증을 직접 신청하면 된다.

신기술·신종 융복합 제품 사전인증, ‘국내 CC인증’ 권장 안한다

국정원은 모든 국가·공공기관이 신기술·신종 융복합 제품을 도입할 경우에도 검증 소요기관 단축과 개발업체의 부담 완화를 위해 보안기능확인서, 국제CC인증서, 신속확인서 등의 사전인증서 획득을 권장한다. 인증대상 제품 유형이 한정된 ‘국내 CC인증’은 권장하지 않는다는 점이 두드러진다.

국정원은 국가·공공분야 IT보안제품 ‘보안적합성검증’ 규제개선안 시행 배경으로 “그동안 IT보안업계 내부에서는 국가·공공분야 기관의 중요도가 다름에도 국방부·방위사업청 등 중앙부처부터 일선 초등학교까지 똑같은 보안검증 정책이 적용돼 비효율적이라는 지적과 함께 제도개선의 필요성이 제기돼 왔다”며, “이번 개편안은 초연결·데이터 중심의 보안환경 변화를 적극 수용하고 규제 해소를 목적으로 한 만큼 업체·기관들의 그간 불편함과 부담감이 경감되길 기대한다”고 말했다.

장벽 허물어지는 공공시장…CSAP 개편 더불어 큰 변화, 국·외산 무한경쟁 시대 오나

보안적합성 검증체계를 보안중요도에 따른 기관과 그룹별로 ‘차등’ 적용하는 이번 전면 개편은 국가기관 전산망 시스템의 보안성검증 방식은 물론, IT보안 산업의 사업 환경에 큰 변화를 불러올 수 있다. 특히 보안적합성 검증을 생략·대체할 수 있는 사전 인증요건에 CC인증서와 보안기능확인서뿐 아니라 신속확인서까지 포함됐고, 심지어 일부 기관은 적합성 검증을 안받은 제품 도입도 가능해져, 정부·공공 IT보안 시장에 굳건히 자리했던 외산 보안 제품에 대한 높은 장벽이 크게 허물어지게 됐다.

결과적으로 국내 보안 시장은 무한경쟁 시대가 펼쳐질 수밖에 없는 환경이 조성되고 있다. 정부는 현재 클라우드 보안인증(CSAP)도 등급제로 전환, 보안적합성 검증제와 비슷한 방향으로 개편을 추진하고 있다. 클라우드 서비스(SaaS) 방식의 보안 제품 공급이 향후 확대될 수 있다는 점에서 이 역시 보안적합성 검증체계 개편과 더불어 큰 변화를 불러올 수 있다는 것을 예상할 수 있다.

이같은 정부·공공 분야의 잇단 IT 관련 보안성 검증 제도 개편은 윤석열 정부 출범 후 눈에 띄는 변화다. 정부는 출범 3개월만에 CSAP 등급제 도입, 평가기준이 없는 정보보호 제품에 신속확인제 도입시행 등 보안과 보안제품 평가인증 관련 제도를 손질한다고 발표하고, 올 4분기부터 시행할 것을 예고했다.

이번 보안적합성검증체계 변경으로 외산 보안 솔루션의 공공 시장 진입 문턱이 크게 낮춰지면서 이는 대규모 자본력을 가진 거대 글로벌 회사들이나 유망 해외 스타트업들과 경쟁해야 하는 중소규모 국내 기업들에게 불리하게 작용할 수도 있다. 경쟁은 더 치열해지겠지만 장기적으로는 국내 기업들이 ‘온실 속 화초’에서 대부분 벗어나 글로벌 시장으로 나아갈만한 수준의 경쟁력을 갖추고 향상시키는데 발판이 될 수 있다. 보안적합성검증을 포함해 보안 제품 평가·인증체계가 급변하는 환경에 발맞추지 못해 오히려 공공 시장에 필요한 보안 제품 공급에 차질을 빚는 등 그간 반복적으로 생겨났던 문제도 해소할 수 있을 것으로도 예상된다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다