[아이뉴스24 최은정 기자] 국가·공공기관 도입 시 정보보호 제품에 요구되는 공통평가기준(CC) 제도가 일부 개편된다.
일부 제품에 한해 CC인증을 굿소프트웨어(GS) 인증으로 대체해주던 방안을 폐기하는 게 골자다.
국가정보원은 지난 2017년부터 스팸메일 차단시스템, 패치관리 시스템, 망간 자료전송 제품 등 보안 제품 3종에 대해 CC 인증을 GS 인증으로 대체할 수 있도록 했다.
단 국제표준 ISO/IEC25023, 국가용 보안 요구사항을 준수해 받은 GS인증만 해당한다. 하지만 당초 예상과 달리 이를 활용하는 경우가 거의 없어 원래대로 이를 다시 일원화하게 된 것으로 풀이된다.
13일 한국정보보호산업협회(KISIA) 및 업계에 따르면 앞으로 1~2년 뒤부터 스팸메일 차단시스템, 패치관리 시스템, 망간 자료전송 제품을 포함한 보안 제품 세 종류에 대한 인증 선택제가 폐지된다.
CC인증은 국가보안기술연구소 IT보안인증사무국이 인증기관이다. CC인증을 받기 위해 기업은 먼저 한국시스템보증, 한국아이티평가원, 한국정보통신기술협회(TTA), 한국정보보안기술원, 한국기계전기전자시험연구원 등 5개 평가기관에서 제품 평가를 받아야 한다. 이 결과를 기반으로 국보연이 인증서를 내주는 방식이다.
현재 국정원 홈페이지에는 국가·공공기관 납품 시 해당 제품들은 CC와 GS인증 중 선택해 받으면 된다고 명시돼 있다. 앞으로 1~2년 뒤 이 조항은 사라지게 된다.
이에 따라 앞으로 스팸메일 차단시스템과 패치관리 시스템은 CC인증을, 망간 자료전송 제품의 경우 2022년부터 보안기능 확인서를 사전에 획득해야 국가기관에 납품할 수 있다. 다만 기존에 GS인증으로 CC인증을 대체하고 있는 제품의 경우 효력은 유지된다.
보안기능 확인서는 정보보호시스템·네트워크 장비 등 IT제품에 대해 TTA 등 공인 시험기관이 '국가용 보안요구사항' 만족 여부를 시험해 통과하면 받을 수 있다. 이와 관련 국정원은 정책기관, 국보연은 검증기관 역할을 하고 있다.
선택 인증제를 없애는 가장 큰 이유는 수요가 적기 때문으로 해석된다. 실제로 GS인증 시험기관 한국정보통신기술협회(TTA)에 따르면, 현재 보안 요구사항을 만족한 GS인증을 받은 업체는 국내 단 한 군데인 것으로 나타났다.
KISIA 관계자는 "그동안 (해당 3가지 제품에 대해) 보안요구사항을 만족한 GS인증을 받는 사업체가 많지 않았다"며 "앞으로 1~2년 후 일원화 체계를 시행하게 될 것"이라고 말했다.
보안업계 관계자도 "(일원화 조치는) 국정원 등 기관에서 GS인증으로는 보안에 대한 기능 검토가 충분히 되지 않는다고 판단했기 때문으로 보인다"고 추측했다.
한편, 국정원이 진행하는 보안적합성 검증(CC인증 등) 체계는 전자정부법에 의한 절차로, 국가기관법에 의해 진행되는 나라장터 조달청 등록과는 조건이 다를 수 있다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기