보안적합성 검증제도 개요 > 정보보안 가이드

본문 바로가기
사이트 내 전체검색


정보보안 가이드

정보보안 가이드

보안적합성 검증제도 개요

페이지 정보

작성자 게시판관리자 작성일23-10-28 18:27 조회2,294회 댓글0건

본문

보안적합성 검증제도 개요

보안적합성 검증은 국가정보통신망의 보안수준 제고를 위해 「국가정보원법」 제4조와 「전자정부법」 제56조에 의거, 국가ㆍ공공기관이 도입하는 정보보호시스템ㆍ네트워크 장비 및 양자암호통신장비 등 보안기능이 탑재된 IT제품 및 저장자료 완전삭제제품의 안전성을 검증하는 제도 입니다.

중앙행정기관, 주요정보통신기반시설 관리기관, 광역시ㆍ도, 광역시ㆍ도 교육청은 정보보호시스템ㆍ네트워크 장비 및 양자암호통신장비 도입후 국가정보원에 보안적합성 검증을 신청하여야 하며 검증과정에서 발견된 취약점을 제거한 후에 운용 하여야 합니다.

※ 보안적합성 검증제도에 대해 문의하실 사항은 validation@ncsc.go.kr로 질의하시기 바랍니다.

보안적합성 검증 절차

국가ㆍ공공기관은 ①검증 대상 제품 도입 즉시, 국가정보원에 보안적합성 검증을 신청하여야 합니다. ②국가정보원은 신청을 접수한 후 검증대상 제품의 국가용 보안요구사항 만족 여부 확인을 위해 국가보안기술연구소에 시험을 의뢰하고 ③국가보안기술연구소는 시험결과를 국가정보원에 제출 합니다. ④국가정보원은 시험결과 및 보안대책을 검토하여 신청 기관에 보안적합성 검증 결과를 통보합니다.
⑤국가ㆍ공공기관은 보안적합성 검증결과에 따라 발견된 보안 취약점을 제거한 후, 정보보호시스템ㆍ네트워크 장비를 운용하여야 합니다.

<보안적합성 검증 절차> 국가ㆍ공공기관(각급기관)은 ①검증 대상 제품 도입 즉시, 국가정보원에 보안적합성 검증 신청을 한다. ②국가정보원은 신청을 접수한 후 검증대상 제품의 국가용 보안요구사항 만족 여부 확인을 위해 국가보안기술연구소(NSR)에 시험의뢰 하고 ③국가보안기술 연구소(NSR)는 시험결과를 국가정보원에 제출합니다. ④국가정보원은 시험결과 및 보안대책을 검토하여 신청 기관에 보안적합성 검증 결과 통보한다. ⑤ 국가ㆍ공공기관(각급기관)은 보안적합성 검증결과에 따라 발견된 보안 취약점을 제거한 후, 정보보호시스템ㆍ네트워크 장비를 운용하여야 합니다. (취약점 보안 후 운용)      1. 보안적합성 검증신청 2. 시험의뢰 3. 시험결과 4. 검증결과 통보 5. 취약점 보완 후 운용

제품 유형별 도입 기준

사전 인증이 필요한 제품 유형

국가ㆍ공공기관이 도입하는 정보보호제품 중에서 침입차단시스템, 가상사설망 등 주요 제품유형은 공인시험기관이 발급한 '보안기능 확인서' 또는 우리나라(IT보안인증사무국)을 비롯, CCRA회원국이 발행한 CC인증을 받아야 하며, △네트워크 장비 △호스트ㆍ네트워크 자료유출 방지제품 △S/W기반 보안USB 제품 △가상화 관리제품 △망간 자료전송 제품(2022.1.1부터)은 보안기능 확인서를 받아야 합니다.
양자암호통신장비를 도입하는 경우 보안기능확인서를 발급받은 제품을 도입하거나 도입 시 보안적합성검증을 신청해야 합니다.
아울러 가상사설망(VPN), 소프트웨어 기반 보안USB, 호스트 자료유출방지 등 3종 제품은 검증필 암호모듈을 탑재해야 합니다. 아래 표에 포함되지 않은 제품 유형일지라도 보안기능 확인서를 발급받아 검증필 제품목록에 등재될 경우, 보안적합성 검증절차를 생략하고 운용할 수 있습니다.

제품군

제품 유형

도입 요건

도입 방법

보안적합성 검증 생략

침입차단 제품군

침입차단시스템(FW)

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서

발급 제품을 도입

검증필제품목록 등재제품도입시

웹 방화벽
(WAF)

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서

발급 제품을 도입

DDoS 대응장비

CC인증·성능평가·보안기능

확인서 중 어느 하나

CC인증·성능평가·보안기능 확인서

발급 제품중에서 도입

인터넷전화 보안제품

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서 발급 제품을 도입

침입차단제품군 기타

없음

도입 후, 적합성 검증 신청

침입방지 제품군

침입방지시스템
(IPS·IDS)

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서

발급 제품을 도입

검증필제품목록 등재제품도입시

무선침입방지제품
(WIPS)

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서

발급 제품을 도입

침입방지제품군 기타

없음

도입 후, 적합성 검증 신청

구간보안 제품군

가상사설망
(VPN)

CC인증 또는 보안기능 확인서 + 

검증필 암호모듈

CC인증 또는 보안기능 확인서를 발급받고

검증필 암호모듈을 탑재한 제품 도입

검증필제품목록 등재제품도입시

네트워크 접근통제제품
(NAC)

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서 발급 제품을 도입

망간 자료전송제품

보안기능 확인서

보안기능 확인서 발급제품 도입

무선랜 인증제품

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서 발급 제품을 도입

구간암호화제품

검증필 암호모듈 탑재

도입 후, 적합성 검증 신청

구간보안제품군 기타

없음

도입 후, 적합성 검증 신청

전송자료보안 제품군

스팸메일 차단시스템

CC인증 또는 보안기능 확인서

CC인증 제품 또는 보안기능 확인서 발급 제품을 도입

검증필제품목록 등재제품도입시

소프트웨어 기반 보안USB제품

보안기능 확인서+검증필 암호모듈 탑재

보안기능 확인서
발급제품 도입

호스트 자료유출방지제품

보안기능 확인서+검증필 암호모듈 탑재

보안기능 확인서
발급제품 도입

네트워크 자료유출 방지제품

보안기능 확인서

보안기능 확인서
발급제품 도입

메일암호화제품

검증필 암호모듈 탑재

도입 후, 적합성 검증 신청

전송자료보안제품군 기타

없음

도입 후, 적합성 검증 신청

보안관리 제품군

스마트카드
(COS 포함)

CC인증 또는 보안기능 확인서

CC인증(EAL4 이상) 또는 보안기능 확인서

발급 제품을 도입

국제 CC 인증 인정

통합보안 관리제품
(ESM, TMS, 통합로그관리)

CC인증 또는 보안기능 확인서

CC인증 제품 또는 보안기능 확인서 발급 제품을 도입

검증필 제품목록 등재제품 도입시

소스코드 보안약점 분석도구

CC인증·성능평가·보안기능 확인서 중 어느 하나

CC인증·성능평가·보안기능 확인서 발급 제품중에서 도입

패치관리시스템

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서 발급 제품을 도입 

DB 접근통제 제품

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서 발급 제품을 도입

시스템 접근관리제품

없음

도입 후, 적합성 검증 신청

패스워드관리제품

없음

도입 후, 적합성 검증 신청

통합인증제품
(SSO)

CC인증 또는 보안기능 확인서 +

검증필 암호모듈

CC인증 또는 보안기능 확인서를 발급받고

검증필 암호모듈을 탑재한 제품 도입

보안관리제품군 기타

없음

도입 후, 적합성 검증 신청

가상화 제품군

가상화 관리제품

보안기능 확인서

보안기능 확인서 발급제품을 도입

검증필 제품목록 등재제품 도입시

가상화제품군 기타

없음

도입 후, 적합성 검증 신청

엔드포인트 보안제품군

디지털 복합기

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서 발급 제품을 도입

국제 CC 인증 인정

안티바이러스제품(Windows)

CC인증·성능평가·보안기능확인서

중 어느 하나

CC인증·성능평가·보안기능 확인서 제품중에서 도입

검증필제품목록 등재제품도입시

안티바이러스제품(Linux)

성능평가

성능평가서 발급 제품을 도입

스마트폰 보안관리제품

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서 발급 제품을 도입

운영체제(서버)
접근통제제품

CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서 발급 제품을 도입

EDR제품

없음

도입 후, 적합성 검증 신청

APT대응제품

없음

도입 후, 적합성 검증 신청

문서암호화제품
(DRM)

CC인증 또는 보안기능 확인서 +

검증필 암호모듈

CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입

DB 암호화제품

CC인증 또는 보안기능 확인서 +

검증필 암호모듈

CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입

엔드포인트보안제품군 기타

없음

도입 후, 적합성 검증 신청

저장자료 완전삭제제품군

저장자료 완전삭제 제품
(SSD 제외)

없음

도입 후, 적합성 검증 신청

검증필제품목록 등재제품도입시

네트워크 장비

L3 스위치

보안기능 확인서

보안기능 확인서
발급제품 도입

검증필제품목록 등재제품도입시

L4 스위치

보안기능 확인서

보안기능 확인서
발급제품 도입

L7 스위치

보안기능 확인서

보안기능 확인서
발급제품 도입

SDN컨트롤러

보안기능 확인서

보안기능 확인서
발급제품 도입

SDN스위치

보안기능 확인서

보안기능 확인서
발급제품 도입

L2 보안시스템

보안기능 확인서

보안기능 확인서
발급제품 도입

네트워크 장비 기타

보안기능 확인서

보안기능 확인서
발급제품 도입

양자암호통신
장비

양자키분배장비

없음

보안기능 확인서 발급제품 도입 또는
도입 후 적합성 검증 신청

검증필제품목록 등재제품도입시

양자키관리장비

없음

보안기능 확인서 발급제품 도입 또는
도입 후 적합성 검증 신청

양자통신암호화장비

없음

보안기능 확인서 발급제품 도입 또는
도입 후 적합성 검증 신청

※ 해외에서 CC인증을 받은 '디지털복합기'는 안전성 검증필 제품목록에 없더라도 별도의 검증이 필요없지만, 나머지 제품유형은 CC인증을 받더라도 '안전성 검증필 제품목록'에 없는 경우, 보안적합성 검증절차를 거쳐야 합니다.

도입시 유의사항

국가ㆍ공공기관은 CC인증ㆍ보안기능 확인서 등 사전인증을 받은 제품을 도입할 경우 아래 유의사항을 확인 하시기 바랍니다.

  • 도입하려는 제품의 사전인증 필수 유형 해당 여부와 발급받은 인증서(보안기능 확인서)가 도입시점에서 유효한지 확인해야 합니다. 인증서(보안기능 확인서)의 효력이 만료된 제품은 인증제품으로 인정되지 않습니다.
  • 평가(시험)기관과 사전 협의중이거나 평가(시험)가 진행중일지라도 인증제품으로 인정되지 않습니다. 평가(시험) 협의ㆍ진행이 인증을 담보하지 않습니다.
  • 국제CC인증 제품의 경우 도입 기관이 사용을 원하는 보안기능이 인증범위에 포함되지 않을 수 있기 때문에 인증범위에 대한 확인이 필요합니다.
  • 도입기관이 사용하고자 하는 보안기능이 인증범위(TOE)에 포함되었는지 확인이 필요합니다.
  • CC 인증 및 보안기능 확인서內 다양한 하드웨어가 탑재, 배포되는 경우 인증보고서에 해당 하드웨어 모델명칭이 기재되었는지 확인이 필요합니다.
  • CC인증은 등급 제한(스마트카드 제외)이 없습니다.

 

댓글목록

등록된 댓글이 없습니다.

상단으로

전화: 02-705-5822 | 팩스: 02-6442-0746 | 주소: (14319) 경기도 광명시 소하로 190, A동 14층 1414호 (소하동, 광명G타워)
대표: 조대희 | 사업자등록번호: 214-88-00572 | 개인정보관리책임자: 조대희

"하나님이 능히 모든 은혜를 너희에게 넘치게 하시나니 이는 너희로 모든 일에 항상 모든 것이 넉넉하여 모든 착한 일을 넘치게 하게 하려 하심이라" (고후 9:8)
Copyright © www.bomnetworks.com. All rights reserved.

모바일 버전으로 보기