ⓒ시큐리티월드

[시큐리티월드 이재영] 올해 2월 27일, 산업통상자원부는 전략물자수출입고시 일부 개정(산업통상자원부고시 제2017-24호, 2017. 2. 27 시행) 결과를 고시했다.

이번 전략물자수출입고시 개정에는 국제수출통제체제의 2016년 통제기준 개정사항이 반영됐는데, 보안업체라면 특히 바세나르체제(WA) 5부2장 정보보안 통제기준 개정 내용을 주목할 필요가 있다. 우리 기업들의 원활한 전략물자관리를 위해 여기에 고시 개정 내용을 정리한다.

이번 물자수출입고시 개정으로 5부 2장 정보보안 통제 리스트가 재구성됐다. 기존 5A002.a.1로만 운영되었던 정보보안 품목의 통제가 5A002.a.1~4로 세분화됐고, 확인하기 어려웠던 기술해설(Technical note)과 주(Note) 내용을 재정리했다.

전략물자수출입고시 개정 전에 정보보안 관련 품목들은 5A002.a.1 하나의 통제번호로 관리돼 통제번호만으로는 어떤 품목인지 확인할 수 없었지만, 고시 개정으로 품목분류가 세분화되면서 통제번호만으로도 어떤 품목인지 확인할 수 있게 됐다.

개정 이후 세분화된 통제 품목은 다음과 같다. 개정된 5A002.a.1의 통제기준은 주요 기능이 데이터 보호 등 정보보안 목적으로 사용되는 시스템, 장비, 부품 등을 대상으로 한다.

예를 들어, 전송 데이터의 보호를 위하여 전송구간의 보안 프로토콜을 이용하는 VPN 장비가 이에 포함된다. 내부로 들어오는 데이터의 위험성 여부 확인을 위해 복호화한 후 암호화하는 IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 등도 포함된다.

5A002.a.2의 통제 기준은 주요 기능이 정보보안이 아닌 통신 또는 네트워크 장비가 대상이다. 데이터들의 스위칭이나 라우팅을 목적으로 하는 장비로 전송 시 SSL 등과 같은 보안 프로토콜을 지원하는 장비도 포함된다.

5A002.a.3의 통제기준은 주요 기능이 정보보안이 아니고 디지털 통신이나 네트워크 장비가 아닌 컴퓨터와 정보저장 또는 정보처리가 목적인 품목이 대상이다. 데이터를 처리해 전송하거나 저장하는 서버나 데이터의 안전한 보존을 위한 스토리지 장비가 이에 속한다.

5A002.a.4는 상기 1~3에 해당하지 않는 품목으로 비주요 기능을 지원하고, 전략물자로 구분되는 장비에 사용되거나 전략물자로 구분되는 소프트웨어로 수행되는 품목이 대상이다.

최근 정보보안이 대두되면서 암호화 기능을 포함하지 않은 통신·네트워크 장비를 찾아보기 어렵다. 이에 정보보안 기업들이 전략물자수출입고시 개정 여부를 미리 확인하지 못해 발생하는 문제를 겪지 않길 바란다.

이렇듯 국내 법령 및 국제 규범을 사전에 이해하고 준수할 수 있도록 많은 관심을 가질 필요가 있다. 자세한 내용은 <표>로 정리했으니 업무에 참고가 됐으면 한다.

ⓒ시큐리티월드

[글 이재영 전략물자관리원 심사판정실 연구원 jylee11@kosti.or.kr]