공공기관 정보보호제품 도입 요건 "낮춘다"

그동안 국가 공공기관 정보보호제품 도입을 둘러싸고 논란이 됐던 지나치게 까다로운 요건과 복잡한 절차가 크게 완화된다.

일단 '선 검증 후 도입' 방식이던 공공기관 정보보호제품 도입 정책이 '선 도입 후 검증' 방식으로 바뀐다.

또 정보보호제품의 보호프로파일(PP) 평가보증등급(EAL)도 하향 조정, 국제공통평가기준(CC) 인증 획득을 위한 정보보호업체의 부담이 크게 줄어들 전망이다.

2일 국가정보원 IT보안인증사무국은 서울 코엑스 컨퍼런스 센터에서 '정보보호시스템 평가인증제도 개선 설명회'를 열고, 이같은 내용을 골자로 한 정보보호제품 평가인증제도 개선 내용과 보안적합성 검증제도 변경 사항을 발표했다.

이날 IT보안인증사무국은 PP를 기반으로 한 정보보호 제품 14종 중 침입방지시스템·침입탐지시스템·가상사설망·지문인식시스템·스팸메일차단시스템·보안토큰·무선랜인증시스템 등 총 9종의 CC 평가 보증등급을 최고 EAL4 에서 EAL3와 EAL2로 낮춘다고 밝혔다.

이에 따라 정보보호업계가 평가시 구비해야 할 서류가 축소되고, 평가기간이 단축돼 그간 복잡한 CC인증절차로 인한 부작용을 일부 해소할 수 있을 것으로 예상된다.

◆'선 도입 후 검증' 으로 변경…도입기관 책임 강화

아울러 국가·공공기관에 도입하는 정보보호 제품 기준도 완화된다. 기존 가·나·다로 분류된 보안등급제를 폐지하고, EAL4 이하였던 기준을 EAL2 이상으로 낮췄다.

보안 등급이 완화됨에 따라 해외에서 CC인증을 받은 외산 제품의 공공기관 진출이 본격화될 전망이다.

특히 EAL2 이상의 CC인증제품과 검증필 암호모듈을 탑재한 암호기반제품의 경우 보안적합성 검증 절차 없이 공공기관에 정보보호제품을 공급할 수 있게 됐다.

또 '선 검증 후 도입' 방식이었던 공공기관 정보보호제품 도입 정책을 '선 도입 후 검증' 방식으로 변경해, 도입 기관의 책임을 강화했다.

이밖에 정보보호 제품 도입 후 기관이 신청하는 보안적합성 검증 구비서류를 검증신청서와 기술제안요청서(RFP) 각 1부로 간소화한게 특징이다.

IT보안인증사무국 관계자는 "국가기관 도입 정보보호제품의 보안적합성 검증체계를 기존 문서 검토에서 운용현장 시험 중심으로 변경했다"며 "앞으로 정보보호제품 평가기간 단축과 국가기관 도입절차 간소화를 통해 관련업계의 부담이 줄 것으로 기대한다"고 말했다.