달라진 보안적합성 검증제도, 6월부터 적용

오는 6월 1일부터 기존 검증필 제품 목록에 등재된 제품이라도 국가기관에 납품하기 위해서는 CC인증과 보안적합성 검증을 새로 받아야 한다.

국가정보원 IT보안인증사무국은 지난 4월 발표한 보안적합성 검증 제도를 일부 보완해 6월 1일부터 적용한다고 14일 발표했다.

단, CC인증 없이 보안적합성 검증만 받은 업체들이 CC인증을 받을 수 있도록 하기 위해 현재 운영중인 검증필 제품 목록을 내년 5월 31일까지 유지할 방침이다.

이는 지난 4월 정보보호제품 평가인증제도 개선방안 설명회를 통해 검증필 목록 폐지 기간을 올해 12월 31일로 공지했던 데서 5개월 연장한 것이다.

이에 따라 내년 6월 1일부터는 '보안USB 및 완전삭제 제품' 등 CC인증 없이 검증필 제품 목록에 포함된 제품도 국가·공공기관 도입을 위해서는 CC인증을 받은 후 보안적합성 검증을 신청해야 한다.

◆보안적합성 검증 신청서·자체 점검 항목 공개

IT보안인증사무국은 기재 항목이 강화된 보안적합성 검증 신청서와 정보보호제품 자체 점검 결과를 공지했다. 앞으로 공공기관이 정보보호제품을 자율적으로 도입할 수 있게 됨에 따라 이를 참고해 가이드라인을 제시한 것.

이번에 발표한 정보보호제품 자체 점검 결과는 ▲인증여부 ▲일치성 ▲운용환경 ▲유지보수 등의 항목을 도입기관이 각각 점검토록 해 정보보호제품 도입의 적합성을 기관 스스로가 점검할 수 있도록 한 것이 특징이다.

또 보안적합성 검증 신청서에 ▲CC인증번호 ▲암호검증번호 ▲용역개발여부 등의 항목을 추가했다.

앞으로 보안적합성 검증 신청은 정보보호제품을 도입하는 기관의 장이 제품 도입과 동시에 하며, 보안적합성 검증결과를 반영해 취약점 등을 보완한 후에 운용해야 한다.

국가·공공기관의 장은 정보보호 제품 도입 시부터 최소 3년 이상 유지보수가 가능한 업체의 제품을 선정하도록 해 사후 관리가 가능한 제품을 도입해야 한다.

IT보안인증사무국 관계자는 "이번 제도 개선으로 인증제품목록이 기존 검증필 제품목록의 역할을 하게 됐다"며 "정보보호제품 자체 점검 결과도 함께 공개, 이를 통해 공공기관이 정보보호제품 도입시 가이드 라인으로 활용할 수 있게 했다"고 말했다.