[아이뉴스24 김국배 기자] 보안기능 시험결과서 발급 대상 제품군이 전(全) 정보통신기술(ICT) 제품으로 확대된다.
국가·공공기관은 보안기능이 포함된 IT제품 도입 시 국가정보원에 보안적합성 검증을 신청해야 하나, 업체가 이 시험결과서를 미리 받으면 도입 기관은 해당 행정 절차를 생략할 수 있다.
이에 따라 도입 기관은 검증 절차를 간소화할 수 있을 뿐 아니라 보안 기능을 사전에 검증한다는 의미에서 보안성을 높일 수 있을 전망이다.
15일 국가정보원은 서울 강남구 한국과학기술회관에서 '보안적합성 검증제도 정책설명회'를 열고 '보안기능 시험결과서' 제도 개선 내용을 공유했다.
현재 국내·국제용 공통평가(CC)인증을 받은 제품은 기본적으로 공공기관에 도입할 수 있으나, 국가용 보호프로파일(PP) 준수여부 등에 따라 보안적합성 검증이라는 행정절차가 존재한다. 현재 24종의 제품이 CC인증을 필수로 받게 돼 있다.
앞서 국정원은 지난 2016년부터 7월부터 올해까지 검증절차 간소화, 보안성 제고를 위해 보안기능 시험 결과서 제도를 한시적으로 운영하기로 했다.
그러다 이번에 발급 대상 제품을 늘리며 기간도 2020년까지 2년 더 연장한 것이다.
대상 제품은 기존 네트워크 장비, 국제용 CC인증 제품(필수 24종 내), SDN 컨트롤러에서 전 ICT 제품으로 확대됐다. 또한 발급 기준도 강화돼 기본 보안요구사항에 더해 제품별 보안기능을 만족(필수항목)해야 한다.
유효기간도 연장됐다. 이전까지는 발급일로부터 1년으로 한 번 연장할 수 있어 최대 2년까지 유효했다. 변경된 유효기간은 발급일로부터 1년 또는 2년으로 최대 3년까지 가능하다. CC인증 제품은 인증 유효기간 만료일을 초과할 수 없다.
물론 국내용 CC인증을 받거나 국가용 PP를 준수하는 국제용 CC인증을 받은 제품을 도입하는 기관은 국정원에 보안적합성 검증을 신청할 필요가 없다.
현재 보안기능 시험 결과서 발급에 따른 실무업무는 국가보안기술연구소가 수행하고 있다. 정책관리와 발급 현황 공지는 국정원이 한다. 한국인터넷진흥원(KISA) 등 8개 기관이 공인시험기관을 맡고 있다.
국정원 관계자는 "올해 발급된 제품의 효력 연장을 신청할 경우 개선된 시험기준에 맞게 보완할 시간을 보장할 계획"이라고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기