앞으로 보안USB, 자료유출방지, 네트워크 장비, 가상화 관리, 망간 자료전송 제품을 정부·공공기관에 도입하려면 ‘보안기능시험결과서’를 받아야 한다.
당장 내년부터 보안USB, 네트워크 장비, 가상화 관리 제품을 대상으로 시행된다. 네트워크 장비를 제외한 3종은 현재 공통평가기준(CC) 필수 제품이지만 내년 1월부터는 원칙적으로 ‘보안기능시험결과서’ 발급으로 국가·공공기관 도입요건이 변경된다.
‘보안기능시험결과서’ 발급 제도는 지난 2016년 7월 처음 신설해 운영하며 대상을 확대했다. 그간 네트워크 장비(L3 이상) 스위치와 라우터, 네트워크기능가상화(NFV), 소프트웨어정의네트워킹(SDN) 컨트롤러와 사실상 CC인증 등을 받을 수 없는 정보보호 제품을 대상으로 시행돼 왔다.
‘보안기능시험결과서’를 확보해 효력을 유지하고 있는 제품들을 도입하는 국가·공공기관은 보안적합성 검증을 별도로 신청해 받지 않아도 된다. 제품 도입에 필요한 행정절차를 간소화하면서도 사전에 보안기능을 검증할 수 있는 두가지 효과가 있는 제도다.
국가정보원은 30일 과학기술회관에서 보안적합성 검증 정책 설명회를 열고 사전 검증 정책을 강화하기 위한 이같은 제도 시행 계획을 밝혔다.
‘선검증 후도입’ 정책으로 국가·공공기관 자료유출 방지 등 보안 강화
이번에 제도가 변경되는 주요 배경에는 정부·공공기관 전산망과 내부망 보안 강화가 있다. 앞으로 단계적으로 적용할 예정이지만 ‘보안기능시험결과서’ 발급 대상이 되는 보안USB, 자료유출방지, 네트워크 장비, 가상화 관리, 망간자료전송 제품들을 국정원은 국가기관 내외부 전산망 간 자료 유통과 유출 방지 관련해 중요 역할을 수행하는 제품들로 봤다. 따라서 ‘보안기능시험결과서’ 제도를 바탕으로 국가·공공기관에 설치되는 제품의 보안기능과 안전성에 대한 사전 검증을 강화한다는 의미다.
‘보안기능시험결과서’를 받은 제품은 별도의 보안적합성 검증 절차가 생략되기 때문에 절차가 간소화된다는 측면도 있지만, 보안적합성 검증제도를 ‘선검증 후도입’으로 전환하겠다는 취지다.
이번에 검증 제도를 바꾸면서 기존에 CC인증 필수제품이던 보안USB, 자료유출방지, 가상화관리, 망간자료전송 제품은 ‘보안기능시험결과서’를 통한 ‘선검증’으로 도입요건이 변경된다. 도입 전에 먼저 검증을 수행해 완료되면 보안적합성 검증필 제품목록에 등재된다.
국정원은 홈페이지에 게재해온 검증필 제품목록을 국가·공공기관만 접속할 수 있는 정보공유시스템으로 이동해 게시할 예정이다. 현재는 검증필 제품목록에 데이터영구삭제 제품들만 게시해왔지만 앞으로는 ‘보안기능시험결과서’는 물론 CC인증과 암호모듈 검증필 제품 등 국정원 보안적합성 검증된 제품이 모두 등록될 예정이다. 검증필 제품목록의 실질적인 ‘부활’이라고도 할 수 있다.
가상화 제품 두가지로 분류, 가상화 관리 제품 유형은 ‘PC·서버 가상화’
아울러 국정원은 이번에 가상화 제품을 두 종류로 구분했다. 새롭게 가상화 관리 제품 유형을 신설했다. 가상화 관리 제품은 PC 가상화·서버 가상화 제품으로, 앞으로 ‘보안기능시험결과서’ 발급을 통한 선검증 대상이다. 가상화 제품은 하이퍼바이저가 해당되는데, 이는 기존대로 CC인증을 대상이다.
국정원은 5종 가운데 1차로 2020년 보안USB, 네트워크 장비, 가상화 관리 제품을 대상으로 시행한 뒤 오는 2021년 호스트 자료유출 방지 제품과 네트워크 자료유출 방지 제품에 적용한다. 2022년부터는 망간 자료전송 제품으로도 확대한다.
‘보안기능시험결과서’의 유효기간은 2년이다.
‘보안기능시험결과서’를 발급 받기 위해서는 공인시험기관으로 지정돼 있는 시험기관에 신청한 뒤 시험 및 결과 검증, 이에 대한 심의 절차 등을 거쳐야 한다. 시험기관은 ▲한국정보통신기술협회(TTA) ▲한국정보보안기술원(KOIST) ▲한국아이티평가원(KSEL) ▲한국기계전기전자시험연구원(KTC) ▲한국시스템보증(KoSyAs) ▲한국인터넷진흥원(KISA) ▲한국산업기술시험원(KTL) 한국전자통신연구원(ETRI) 8곳이다.
현재 ‘보안기능시험결과서’가 발급된 네트워크 장비는 100여개다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network