국가정보원이 국가·공공 기관이 도입하는 IT 보안제품에 대한 사용자 인증체계 전면 개편을 추진한다. 아이디·비밀번호를 기본으로 한 기존 방식은 계정 탈취의 위험이 높은 만큼, FIDO 생체인증을 기본으로 하고 핀(PIN)번호 등을 부가적 수단으로 활용하는 방안을 고려하고 있다.
이외에도 아이폰용 모바일 관리 시스템(MDM), 클라우드 기반 정보보호제품에 대한 국가용 보안요구 사항을 새롭게 개발해, 국가·공공 기관이 도입할 수 있게 한다는 계획이다.
국정원은 지난 10일 서울 양재동 AT센터에서 IT보안업계를 대상으로 한 '보안적합성 검증정책 설명회'를 열고 이 같은 내용이 포함된 '국가용 보안요구사항 개발 계획'을 공개했다.
국가용 보안요구사항(이하 보안요구사항)은 공공분야에 도입되는 IT보안 제품이 기본적으로 구현해야 할 보안 기능을 제시한 것으로, 국내용 CC인증제도와 보안기능시험제도의 시험 기준으로 쓰이고 있다. 국가·공공 기관은 국내용 CC인증이나 보안기능확인서를 획득한 IT보안 제품을 도입해야 한다. 따라서 공공 시장에 IT 보안제품을 공급하려는 경우 보안요구사항을 준수해 제품을 개발해야 한다.
이날 국정원은 보안요구사항에 IT 보안제품의 사용자 인증체계를 개편해 반영하는 방안을 추진한다고 밝혔다.
현재는 아이디와 패스워드 인증을 기본으로 하고, 추가적으로 생체인증을 할 수 있도록 되어 있다. 이를 FIDO나 생체인증을 기본으로 하고 핀 번호나 아이디·패스워드를 부가적으로 사용하게 끔 변경한다는 계획이다.
국정원 관계자는 "국가지원을 받는 해킹 조직들이 아이디와 비밀번호를 탈취하는 것을 주요 목표로 활동 중"이라며 "이에 국가기관 IT 운영 관리의 안전성을 강화하기 위해 사용자 인증체계 개편을 추진한다"고 설명했다.
국정원은 보안 업체들이 제품 개발에 시간이 소요될 수 있다고 보고, 유예기간을 적용해 개편을 추진한다는 계획이다.
이 관계자는 "앞서 한국정보보호협회(KISIA)를 통해 일부 기업들의 의견을 들어본 결과, 새롭게 개발이 필요한 경우 6개월에서 1년 정도의 시간이 필요한 것으로 확인됐다"며 "보다 상세하게 보안 업계의 의견을 수렴하고 일정 기간 유예기간을 가진 후 사용자 계정 공격을 많이 받는 제품부터 적용해 나갈 계획이다"고 말했다.
또, 이와 더불어 공공분야 도입 증가가 예상되는 아이폰용 MDM 제품 등 6개 종의 제품유형에 대한 보안요구사항을 신규로 개발한다.
이번에 신규로 보안요구사항이 개발되는 제품유형은 아이폰용 MDM 제품, 랜섬웨어 대응제품, 생체인증 제품, 클라우드 기반 정보보호제폼, 가상 스위치 등이다. 업계 의견수렴을 거쳐 올해까지 개발 완료를 목표로 추진한다.
아이폰용 MDM 제품의 보안 요구사항이 만들어지면 MDM을 설치한 스마트폰만 이용이 가능한 일부 국가·공공 기관에서 아이폰 사용도 가능해진다. 예컨대 대통령실 근무자는 스마트폰에 MDM을 설치해야 하는데, 그동안 안드로이드용 MDM 제품에 대한 보안요구사항만 있어 아이폰 사용은 어려웠다.
국정원 측은 "특정 기관의 요청이 있어서 보안요구사항을 만드는 것은 아니고, 그동안 안드로이드만 사용했는데 최근 안드로이드와 아이폰의 통신 모듈, 하드웨어 자원 통제 등이 비슷해져서 아이폰용도 개발해도 될 것으로 판단해 추진하게 됐다"고 설명했다.
■보안기능확인서 발급 기간 짧아진다...보안기능시험제도 개선 추진
이날 국정원은 보안기능확인서를 발급 받기 위해 거쳐야 하는 보안기능시험제도의 개선 사항도 공유했다.
먼저 시험에 소요되는 일수가 너무 길다는 업계의 요청을 반영해, 권장 시험 기간을 적용하기로 했다.
정보보안 제품의 경우 공통보안요구사항(서버·엔드포인트)의 권장 시험 기간은 35~40일로, 제품 단위 보안 요구 사항은 5~10일로 산출했다.
네트워크 장비의 경우 스위치·라우터 보안요구 사항의 권장 시험기간은 10~15일로, SDN 스위치·컨트롤러 보안요구사항은 15~20일로 산출했다.
"제출 문서의 사전 검토가 이미 완료돼, 더 이상 수정할 내용이 없고 제품의 보완 사항이 없다는 가정아래 산출한 것"이라는 설명이다.
또 양자암호 보안제품과 스마트카드를 전문으로 하는 시험기관을 추가로 지정한다. 올해 시범적으로 한국기계전자전기시험연구원(KTC)와 한국정보통신기술협회(TTA)를 전문 시험 기관으로 지정하고, 내년부터 시험기관 역량평가를 거쳐 추가 지정할 계획이다.
더불어 보안기능확인서 발급 제품 유형 표기를 개발 업체가 직접 기재할 수 있도록 양식을 변경한다. 이전에는 보기로 제시된 제품 유형 중 해당하는 것이 없을 경우 '기타'로 선택해야 했는데, 이제는 업체가 직접 기재할 수 있게 된 것이다.
또 보안 기능확인서 발급제품의 나라장터 등록도 추진된다. "국가정보원과 과기정통부가, 수의계약 요건에 대해 의견이 일치했고, 보안기능확인서뿐 아니라 성능평가를 받은 제품도 수의계약 요건에 포함할 수 있도록 공동으로 노력하고 있다"고 국정원 측은 설명했다.
관련기사
- 김선희 국정원 3차장 "사이버안보 국제규범 수립에 적극 참여할 것"2022.05.09
- 국정원, NATO 사이버방위센터 주관 '락드쉴즈' 참가2022.04.18
- 국정원, 4대 가상자산거래소와 사이버위협정보 공유2022.04.07
- [단독] 남동발전, 국외 기술유출…국정원이 먼저 내사했다2022.04.04
공급망 보안 요소를 보안기능시험제도에 반영하는 방안도 추진된다. 업체에 또 다른 부담이 될 수 있기 때문에 KISIA 등 유관 산업협회와 태스크포스(FT)를 구성해서 협의하며 추진한다는 계획이다.
또, 스타트업이나 신생 보안업체의 보안기능 확인서 발급을 지원하기 위해서, 구현명세서 기반 시험을 확대한다. "신형 제품인 경우 일반 보안요구 사항을 만들어서 신청해도 되지만, 보안요구사항이라는 개념을 낯설어 하는 경우가 있어 구현명세서 기반 시험을 확대한다"고 설명했다.
