• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

국정원, 정보보호 제품 인증 절차 간소화 2007.03.14

국내평가인증제 15일부터 실시…CCRA V3.1 내달 시범실시


국가·공공기관에 도입되는 정보보호 제품의 평가·인증절차를 간소화 한 국내 평가·인증제도가 15일부터 실시되며, 민간의 평가·인증기관이 추가 설립돼 평가·인증에 소요되는 시간이 50% 가까이 줄어들게 된다.


국제공인 평가·인증제도(CCRA)의 공통평가기준(CC)과 평가방법(CEM) 3.1버전은 다음달부터 시범실시되며, 2009년 10월부터 전체 정보보호 제품에 적용된다. 이를 위한 한국어 지침서는 다음달 중 발간될 예정이다.


“국내인증으로 적체시간 줄일 것”


국가정보원 국가사이버안전센터는 14일 ‘정보보호 제품 평가·인증제도 개선 설명회’를 열고 이같은 내용을 발표하며 “국제인증과 같은 수준의 국내 인증제도를 도입해 인증 적체 시간을 줄일 것이며, 새로운 버전의 인증절차를 홍보해 정보보호 제품의 국제적인 위상을 높일 것”이라고 밝혔다.


국가사이버안전센터는 “현재 국가·공공기관에 도입되는 정보보호 제품은 CC 인증을 받도록 돼 있으나, 인증을 신청한 제품에 비해 인증기관이 적고, 검증시간이 오래 걸려 정보보호 제품이 상당히 오랜 시간 적체돼 있는 상태”라고 밝혔다.


국내인증제도는 인증을 받으려는 정보보호 제품을 모두 전수평가하는 CCRA와는 달리, 기능·취약성 부분만 전수조사, 나머지는 샘플링 조사로 인증에 필요한 기간을 대폭 단축시킬 수 있다.


유사 정보보호 제품 일괄평가 제도를 도입해 여러 가지 플랫폼에 사용되는 동일한 펌웨어나 유사한 계열의 OS에서 운영되는 동일한 소프트웨어는 하나의 제품으로 인정해 평가·인증에 필요한 시간과 비용을 줄이게 된다.


국내인증 대상은 암호기반 제품과 네트워크·컴퓨팅 기반제품이며, 향후 제품 기능에 따라 국가기관마다 도입절차를 세분화 할 예정이다.


암호기반 제품은 상용암호모듈 검증과 보안적합성 검증을 거치면 되고, CC 인증은 권고사항으로 남는다. 대상 제품은 PKI, SSO, DB 암호화 제품, CR, RA, 파일 암호화, OTP, 구간 암호화 제품 등이다.


네트워크·컴퓨팅 기반 제품은 국내인증을 획득한 후 적합성 검증을 받으면 되며, 암호기반 제품이 아닌 정보보호 제품은 국가용 암호모듈을 탑재할 수 있어야 한다. 대상 제품은 VPN, 방화벽, 바이러스백신, ESM, 웹보안, 스마트카드 등이다.


이와함께 국정원은 민간평가기관을 올해 상반기 중 한 곳 이상 추가 설립하는 등 올해 안 2개 정도 설립해 인증에 소요되는 시간을 줄이고, 증가하는 평가인력 양성을 위해 현재 전문가를 대상으로 하는 평가인력 교육과정을 일반인에게 확대할 예정이다.


국가사이버안전센터 IT 인증사무국장은 “CCRA 인증에 평균 6~7개월 정도 소요됐지만, 국내인증은 절차개선을 통해 3~4개월로 줄어들게 된다”며 “인증을 받은 후에도 정기적인 점검을 통해 인증 기능을 강화할 것”이라고 말했다.


그는 “행정업무와 인터넷 망 분리가 가시화 되는 시점에서 평가·인증 절차개선이 다시 실시될 예정”이라며 “우리나라의 인증제도를 국제적인 수준으로 끌어올리고, 정보보호 업체의 제품개발 및 시장 활성화를 위해 도입절차를 세분화, 간소화 하겠다”고 밝혔다.


“CCRA의 CC/CEM V3.1 활성화 위해 노력”


한편, 국정원은 2009년부터 필수적으로 도입해야 하는 CC와 CEM의 V3.1을 위해 단계적인 계획을 세우고, 정보보호 업체들이 이를 위한 준비를 할 수 있도록 지원할 예정이다.


우선, 이달 중 CC 한국어 번역본을, 다음달 중 CEM 한국어 번역본을 공개하고, 다음달부터 보호프로파일(PP) 사용빈도가 높은 제품 14개를 대상으로 우선 시범실시한다.


6월부터는 방화벽, IDS 등 14개 시범사업을 V3.1로 전환하며, 내년 4월부터는 최초평가에 V3.1을 필수로 적용하고, 2009년 10월부터는 CCRA 협의에 따라 구 버전을 완전히 폐기하고 V3.1 버전을 적용한다.


김승주 성균관대학교 교수는 “V3.1은 인증절차를 간소화 하는데 주안점을 두어 개발자의 부담을 효과적으로 줄였다”며 “중복되는 평가활동을 삭제하고, 용어정의를 분명히 하며, 보안성 보증을 강화하고, 보증컴포넌트를 최소화 했다”고 설명했다.

[김선애 기자(boan1@boannews.co.kr)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>