[디지털데일리 이유지기자] 2014년 10월부터 국가·공공기관에 최초로 도입되는 네트워크 장비 보안적합성 검증제도 전면 시행을 앞두고 국가정보원이 본격 행보에 나섰다.
국정원은 지난 9월부터 네트워크 장비를 도입하는 국가·공공기관으로부터 신청을 받아 시범검증을 시작한 데 이어, 네트워크 장비의 최소 보안요구사항을 정해 공개했다. 내년 4월까지 네트워크 장비업체들이 최소 보안요구사항에 준해 ‘자율검증’을 실시해 검증제도 의무 시행에 사전 대비할 수 있도록 이들을 지원할 방침이다.
국정원은 2일 오후 한국정보통신기술협회(TTA)에서 네트워크 장비업체를 대상으로 국가·공공기관이 사용하는 정보통신망의 안전성을 강화하기 위해 시행하는 네트워크 장비 보안적합성 검증제도 설명회를 개최하고, 이같이 밝혔다.
이 자리에서 국정원은 내년 10월부터 국가·공공기관이 레이어3(L3) 이상의 스위치, 라우터, IP 교환기 도입시 보안적합성 검증을 의무화한다는 방침을 분명히 했다.
네트워크 장비의 최소 보안요구 준용여부 확인사항은 보안적합성 검증시 장비 설명서·설계서 등과 함께 제출물에 필수적으로 포함된다. ▲안전한 패스워드 설정 등 식별·인증 ▲설정규칙에 따른 트래픽 제어 등과 같은 정보흐름통제 ▲보안관리 ▲자체시험 ▲안전한 세션관리 ▲접근통제 ▲전송 데이터 보호 ▲감시기록의 8개 분야 총 21종으로 구성된다.
국정원은 이달 20일까지 업체들로부터 스위치·라우터 장비 1종에 대해 자율검증 사전 신청을 받아 최소 보안요구사항과 점검방법, 검증 컨설팅을 제공하고 이후 제출업체 대상으로 설명회도 가질 계획이다.
구체적인 보안규격은 의무화 시점 직전에 발표할 방침이다.
자율검증 지원 및 보안적합성 검증은 국가보안기술연구소에서 실시하게 된다.
국정원 관계자는 “아직까지 최소 보안요구사항도 적용돼 있지 않은 네트워크 장비들이 많다. 보안적합성 검증 시행 이전에 업체들이 이를 개선할 수 있도록 자율검증을 실시하는 것”이라며, “최소 보안요구사항 확인은 적합성 검증의 일부이며, 보안규격은 내년 하반기에 발표할 계획”이라고 말했다.
한편, 국정원은 오는 2016년부터 네트워크 장비의 국제공통평가기준(CC) 인증도 의무화할 방침이다. 이를 위해 이달 출범할 한국CC사용자포럼(KCCUF)에는 향후 정보보호 업체들 외에 네트워크 업체 관계자들도 참여해 CC인증제도 의견 수렴 창구로 활동할 수 있게 될 것으로 전망된다.
이날 설명회에는 다산네트웍스, 라드웨어, 시스코시스템즈, 알카텔루슨트, F5네트웍스, 에릭슨엘지엔터프라이즈, 유비쿼스, 한드림넷 등 국내외 네트워크 장비업체 관계자들이 참석했다.