오는 2010년까지 절차 간소화 등 추진

앞으로 정보보호제품 평가에 대한 방식과 등급 등 전반적인 운영방안이 크게 변경될 것으로 보인다. 국가정보원 IT보안인증사무국은 2일 ‘정보보호제품 평가·인증 개선 설명회’를 가졌다.

보안업체 등 관계자 250여 명이 참석한 가운데 열린 이번 설명회에서 국정원은 향후 개선·운영 방안 등 오는 2010년까지 국제인증 수준으로 끌어올린다는 계획을 밝혔다. 개선방안을 보면 기존 기술문서 검토 중심, 검증필 제품 목록 등재, 도입여부 판정 등 선 검증·후 도입에서 운용현장 시험중심, 검증필 제품 목록폐지, 도입기관 자율결정 등 선 도입·후 검증으로 방식이 변경된다.

이처럼 간소화된 인증방식의 변경에 따라 기존 6개월 이상 소요됐던 인증심사가 3.5개월로 단축되는 등 간소화를 통해 업계의 제품 개발 및 연구가 탄력을 받을 것으로 기대되고 있다. 또 이달 중 CC인증·암호검증 제품이 삭제되고 올해 말까지 기타 CC 미인증 제품을 삭제해 정보보호제품 도입시마다 적합성 검증을 신청해야 한다.

보안적합성 검증 정책방향의 경우 상용제품 도입기관 운영환경 및 관련시스템 연계 안전성 시험과 국가기관 용역개발 제품 중점 검증실시, 국가기관용 IT보안제품 보안규격 개발·지원을 할 계획이다. 이와 함께 올해 디지털 복합기 보안규격 제정을 착수하고 RFID, USN 등 신기술 방연제품 확대·개발을 지속적으로 모색할 방침이다.

정보보호제품 인증 개선방안은 모두 4단계로 구성돼 있다. 1단계는 이달 중순까지 침입방지제품 등 8종 보호프로파일 등급을 개정하고 국내용 평가제도 및 각급 기관 정보보호제품 보급정책을 개선한다. 2단계는 올해 12월까지 통합보안관리시스템 등 6종 보호프로파일 등급 개정과 인증기관 확대 운영 및 컨설팅 업무를 추진한다.

오는 2010년 6월까지 추진된느 3단계에서는 CC 2.3인증을 전면 폐지하고 신청도 불가능하다. 이에 따라 현재 도입되고 있는 CC 3.1이 본격적으로 운영될 전망이다. 4단계에서는 정보보호제품 평가·인증제도 국제용으로 일원화를 추진한다.

이밖에 완성도 높은 제출물, 일정수준 이상 제품만 평가 계약이 가능하고 검토결과 일관성 유지를 위해 제출물 검토 전담반을 운영한다. 평가진행에 있어서는 문제 발생시 적용되는 기준을 마련, 평가대기 업체의 불이익을 최소화 할 예정이다.

국가정보원 IT보안인증사무국 관계자는 “그동안 높은 등급의 보호프로파일로 인해 업체에서 작성하는 제출물이 증가하는 등 평가준비기간에 어려움이 있었다”며 “이번 개선방안을 계기로 업계의 활발한 연구·개발이 이뤄질 것으로 기대되며 국가정보원 적합성 검증 반영하지 않고 운영하다 보안사고 발생하면 기관이 전적으로 책임져야 하는 규정도 포함했다”고 말했다.

[배군득 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>