국가정보원이 공공기관에 납품되는 내·외부망 간 데이터 전송 관련 제품 5종에 대해 선(先)검증 후(後)도입으로 정책을 변경한다.
공공기관에서의 망 분리 기조가 정착, 확산되고 있음에 따라 내·외부망 자료 전송 과정에서 악성코드 유입을 차단하고, 내부 자료 유출을 방지하는 것에 대해 핵심 역할을 하는 제품 검증을 강화하기 위함이다.
정보보호 제품 중 국가용 보안 요구사항을 만족하지 않은 제품, 신종 솔루션 등을 수요기관이 도입하려 할 경우 먼저 제품을 도입한 뒤, 국정원에 보안적합성검증을 요청하는 경우가 존재했다. 이를 특정 제품에 대해 제한하겠다는 것이다.
국정원은 30일 서울 강남구 한국과학기술회관에서 보안적합성검증 정책 설명회를 열고 이같은 정책 개선 방향에 대해 설명했다.
발표에 따르면 이번 정책 변경이 적용되는 제품군은 ▲보안 USB ▲자료유출방지 ▲네트워크 장비 ▲가상화 관리 ▲망 간 자료 전송 제품군이다.
국정원은 이 제품 5종에 대해 보안 검증 차원에서 보안기능 시험결과서를 요구할 계획이다. 네트워크 장비를 제외하고는 공통평가기준(CC) 인증을 요구해온 제품들이다.
보안기능 시험결과서는 지난 2016년 7월부터 도입된 제도다. 보안 적합성 검증 절차 간소화를 위해 정보보호시스템, 네트워크 장비 등 IT 제품에 대해 8개 공인 시험기관이 ‘국가용 보안요구사항’ 만족 여부를 시험해 안전성을 확인해주는 제도다.
검증이 완료된 제품들은 '검증필 제품 목록'에 등재된다. 국정원은 해당 목록을 홈페이지에 게재해왔지만, 앞으로는 국가공공기관이 접속할 수 있는 정보공유시스템에 등재할 계획이다. 보안 상의 이유다. 국정원 관계자는 "검증필 제품 목록을 분석하는 주체가 너무 많기 때문"이라고 밝혔다.
가상화 제품과 가상화 관리 제품은 각각 CC인증과 보안기능 시험결과서를 요구하는 형태로 정책을 변경한다. 가상화 제품으로서 국내 CC 인증을 받은 제품을 가상화 관리 제품으로, 하이퍼바이저 기능을 제공하는 제품을 가상화 제품으로 분류한다. 국정원 관계자는 "가상화 기술 변화가 급속도로 진행됨에 따른 결정"이라며 "가상화 제품의 경우 국내 CC 외 국제 CC 인증을 받은 제품도 인정할 계획"이라고 언급했다.
아울러 "가상화 제품의 경우 도입 이후 취약점 보완 등의 목적으로 형상이 변경될 수밖에 없는데 매 순간 CC 인증 발급을 요구하는 건 아니다"라며 "분기별, 연도별로 제품 상황에 맞춰 융통성 있게 정책을 운영하고 있다"고 덧붙였다.
관련기사
- 요즘 해커들, '전방위 공격'이 대세다2019.09.30
- 행안부, 지자체 망분리 확대 추진2019.09.30
- ‘꼼짝마!’…AI 접목 금융 이상거래 탐지 ‘한 끗’ 차별화2024.05.01
- "더 늦으면 큰일"…생성형 AI로 기업 체질 어떻게 바꿀까2024.05.02
보안적합성검증을 담당하는 국정원 관계자는 "중요성이 높다 판단되는 보안 USB와 네트워크 장비, 가상화 관리 제품 3종에 대해 내년 1월부터 1차로 정책 전환을 적용할 계획"이라며 "CC인증 만료 제품부터 적용된다"고 설명했다.
오는 2021년부터는 네트워크 자료 유출 방지 제품이 2차 정책 전환 대상으로 포함된다. 2022년 3차 전환 대상은 망 간 자료 전송 제품이다.
