국가정보원의 안전성 검증 도입 조건 살펴보니
[보안뉴스 원병철 기자] 정보보호 솔루션은 ‘보안’을 위해 도입하는 제품인 만큼 그 보안성능에 대한 믿음이 무엇보다 중요하다. 이에 정보보호 솔루션을 도입하려는 기업들은 해당 제품의 기존 사용자를 파악하거나, BMT(Bench Mark Test, 제품 비교 평가)를 시행하기도 한다. 특히, 공공분야의 경우 별도의 기준을 만들어 이를 충족해야만 공공에서 제품을 판매할 수 있도록 하기도 한다. 바로 국가정보원의 안전성 검증이다.
[이미지=utoimage]
안전성 검증 변천사
2021 국가정보보호백서에 따르면, 국가정보원은 ‘국가정보원법’ 제4조 및 ‘사이버안보 업무규정’ 제9조, ‘전자정부법’ 제56조 및 시행령 제69조, ‘공공기록물 관리법 시행령’ 제5조, ‘국가정보보안기본지침’ 제21조·제32조·제34조·제36조에 따라 국가 및 공공기관이 도입하는 정보보호 시스템 등 IT 제품의 보안기능에 대한 안전성을 검증하고 있다.
특히, 2005년 1월부터 공통평가기준(CC, Common Criteria) 인증 획득 제품에 대해 CC인증범위 이외 보안 및 암호 기능에 대해 보안성 검토를 실시했다. 이후 2006년 1월 정보보호제품에 대한 보안성 검토를 ‘보안적합성 검증’으로 명칭을 변경했고, 2008년 보안적합성 검증제도에서 CC인증제품의 검증절차를 ‘선검증 후도입’에서 ‘선도입 후검증’으로 전환했다.
2010년 7월 국내용 CC인증제품에 대해 보안적합성 검증을 생략했으며, 2014년 10월 보안적합성 검증대상에 네트워크 장비를 추가했다. 2016년 7월에는 보안적합성 검증절차를 간소화하기 위해 ‘보안기능 시험결과서 발급’ 제도를 실시했으며, 2019년 4월부터 네트워크 장비에 대한 안전성을 제고하기 위해 발급기준과 필수 검증항목을 강화하고 보안위해 요소가 있는 하드웨어 검증을 추가했다.
이어 2020년에는 각급기관이 네트워크 장비·보안USB·가상화 관리 3종에 대해 보안기능 확인서를 받은 후 도입하도록 했으며, 이는 2021년 네트워크 자료유출 방지제품, 호스트 자료유출 방지제품, 2022년 망간자료 전송제품 순으로 전환될 예정이다. 2020년 7월에는 보안기능이 미약한 제품 7종(△네트워크 기반 개인정보보호 제품 △호스트 기반 개인정보보호 제품 △네트워크 취약점 점검 도구 △호스트 취약점 점검 도구 △유해사이트 차단 시스템 △웹쉘 탐지 제품 △통합로그관리 제품)에 대해 안전성 검증 제외를 공표해 각급기관에서 이들 제품을 자유롭게 도입·운용할 수 있도록 했다.
아울러 국가·공공기관은 도입 대상제품이 CC인증, 보안기능 확인서 등 사전 도입 요건을 만족했는지 확인한 후, 검증이 필요한 제품에 대해 국가정보원 및 검증기관에 보안적합성 검증을 신청할 수 있다.
제품 유형별 도입 요건
①CC인증서가 있어야 도입이 가능한 제품
▲CC인증서를 보유해야만 도입이 가능한 제품[자료=2021 국가정보보호백서]
정보보호시스템 중 침입차단시스템·침입방지시스템 등 23종은 CC인증을 획득한 제품을 도입해야만 하며, CC인증 필수 제품 유형 중 가상사설망과 호스트기반 자료유출방지 제품은 국가정보원장이 승인한 검증필 암호모듈이 탑재되어야 한다. 또한, 국가용 보안요구사항 또는 국가용 보호프로파일을 준수한 경우 보안적합성 검증 신청 절차를 생략해 도입하고 운용할 수 있다. 이를 준수하지 않은 경우 도입 후 보안적합성 검증 신청을 해야 한다.
②국가용 보안요구사항을 준수한 GS인증서로 안전성이 검증됐다고 인정하는 제품(한시적 제도)
▲GS인증서로 안전성이 검증되었다고 인정되는 제품(한시적)[자료=2021 국가정보보호백서]
스팸메일 차단 시스템, 패치관리 시스템, 망간 자료전송 제품 등 3종은 안전성 검증필 제품 목록에 등재되어 보안적합성 검증 신청절차 없이 도입·운용할 수 있으나, 2022년 1월부터 GS인증으로 안전성 검증필 제품목록에 신규 등록할 수 없으며, 도입이 제한된다.
③국가용 보안요구사항을 준수한 성능평가 결과 확인서로 안전성이 검증되었다고 인정되는 제품
▲성능평가 결과 확인서로 안전성이 검증되었다고 인정되는 제품[자료=2021 국가정보보호백서]
디도스 대응장비, 안티바이러스 제품, 소스코드 보안약점 분삭도구 등 3종은 국가용 보안요구사항을 준수한 성능평가 인증 획득시 보안적합성 검증절차를 생략해 도입·운용이 가능하다.
④보안기능 확인서로 안전성이 검증되었다고 인정되는 제품
▲보안기능 확인서로 안전성이 검증되었다고 인정되는 제품[자료=2021 국가정보보호백서]
CC인증, 성능평가 및 GS인증 외에도 보안기능 확인서를 발급받은 제품을 도입할 경우 보안적합성 검증 없이 운용이 가능하다. 여기서 ‘보안기능 확인서’란 국가용 보안요구사항을 만족한 IT 제품에 대해 공인 시험기관이 발급하는 증서다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 정보보호 솔루션은 ‘보안’을 위해 도입하는 제품인 만큼 그 보안성능에 대한 믿음이 무엇보다 중요하다. 이에 정보보호 솔루션을 도입하려는 기업들은 해당 제품의 기존 사용자를 파악하거나, BMT(Bench Mark Test, 제품 비교 평가)를 시행하기도 한다. 특히, 공공분야의 경우 별도의 기준을 만들어 이를 충족해야만 공공에서 제품을 판매할 수 있도록 하기도 한다. 바로 국가정보원의 안전성 검증이다.
[이미지=utoimage]
안전성 검증 변천사
2021 국가정보보호백서에 따르면, 국가정보원은 ‘국가정보원법’ 제4조 및 ‘사이버안보 업무규정’ 제9조, ‘전자정부법’ 제56조 및 시행령 제69조, ‘공공기록물 관리법 시행령’ 제5조, ‘국가정보보안기본지침’ 제21조·제32조·제34조·제36조에 따라 국가 및 공공기관이 도입하는 정보보호 시스템 등 IT 제품의 보안기능에 대한 안전성을 검증하고 있다.
특히, 2005년 1월부터 공통평가기준(CC, Common Criteria) 인증 획득 제품에 대해 CC인증범위 이외 보안 및 암호 기능에 대해 보안성 검토를 실시했다. 이후 2006년 1월 정보보호제품에 대한 보안성 검토를 ‘보안적합성 검증’으로 명칭을 변경했고, 2008년 보안적합성 검증제도에서 CC인증제품의 검증절차를 ‘선검증 후도입’에서 ‘선도입 후검증’으로 전환했다.
2010년 7월 국내용 CC인증제품에 대해 보안적합성 검증을 생략했으며, 2014년 10월 보안적합성 검증대상에 네트워크 장비를 추가했다. 2016년 7월에는 보안적합성 검증절차를 간소화하기 위해 ‘보안기능 시험결과서 발급’ 제도를 실시했으며, 2019년 4월부터 네트워크 장비에 대한 안전성을 제고하기 위해 발급기준과 필수 검증항목을 강화하고 보안위해 요소가 있는 하드웨어 검증을 추가했다.
이어 2020년에는 각급기관이 네트워크 장비·보안USB·가상화 관리 3종에 대해 보안기능 확인서를 받은 후 도입하도록 했으며, 이는 2021년 네트워크 자료유출 방지제품, 호스트 자료유출 방지제품, 2022년 망간자료 전송제품 순으로 전환될 예정이다. 2020년 7월에는 보안기능이 미약한 제품 7종(△네트워크 기반 개인정보보호 제품 △호스트 기반 개인정보보호 제품 △네트워크 취약점 점검 도구 △호스트 취약점 점검 도구 △유해사이트 차단 시스템 △웹쉘 탐지 제품 △통합로그관리 제품)에 대해 안전성 검증 제외를 공표해 각급기관에서 이들 제품을 자유롭게 도입·운용할 수 있도록 했다.
아울러 국가·공공기관은 도입 대상제품이 CC인증, 보안기능 확인서 등 사전 도입 요건을 만족했는지 확인한 후, 검증이 필요한 제품에 대해 국가정보원 및 검증기관에 보안적합성 검증을 신청할 수 있다.
제품 유형별 도입 요건
①CC인증서가 있어야 도입이 가능한 제품
▲CC인증서를 보유해야만 도입이 가능한 제품[자료=2021 국가정보보호백서]
정보보호시스템 중 침입차단시스템·침입방지시스템 등 23종은 CC인증을 획득한 제품을 도입해야만 하며, CC인증 필수 제품 유형 중 가상사설망과 호스트기반 자료유출방지 제품은 국가정보원장이 승인한 검증필 암호모듈이 탑재되어야 한다. 또한, 국가용 보안요구사항 또는 국가용 보호프로파일을 준수한 경우 보안적합성 검증 신청 절차를 생략해 도입하고 운용할 수 있다. 이를 준수하지 않은 경우 도입 후 보안적합성 검증 신청을 해야 한다.
②국가용 보안요구사항을 준수한 GS인증서로 안전성이 검증됐다고 인정하는 제품(한시적 제도)
▲GS인증서로 안전성이 검증되었다고 인정되는 제품(한시적)[자료=2021 국가정보보호백서]
스팸메일 차단 시스템, 패치관리 시스템, 망간 자료전송 제품 등 3종은 안전성 검증필 제품 목록에 등재되어 보안적합성 검증 신청절차 없이 도입·운용할 수 있으나, 2022년 1월부터 GS인증으로 안전성 검증필 제품목록에 신규 등록할 수 없으며, 도입이 제한된다.
③국가용 보안요구사항을 준수한 성능평가 결과 확인서로 안전성이 검증되었다고 인정되는 제품
▲성능평가 결과 확인서로 안전성이 검증되었다고 인정되는 제품[자료=2021 국가정보보호백서]
디도스 대응장비, 안티바이러스 제품, 소스코드 보안약점 분삭도구 등 3종은 국가용 보안요구사항을 준수한 성능평가 인증 획득시 보안적합성 검증절차를 생략해 도입·운용이 가능하다.
④보안기능 확인서로 안전성이 검증되었다고 인정되는 제품
▲보안기능 확인서로 안전성이 검증되었다고 인정되는 제품[자료=2021 국가정보보호백서]
CC인증, 성능평가 및 GS인증 외에도 보안기능 확인서를 발급받은 제품을 도입할 경우 보안적합성 검증 없이 운용이 가능하다. 여기서 ‘보안기능 확인서’란 국가용 보안요구사항을 만족한 IT 제품에 대해 공인 시험기관이 발급하는 증서다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
