- 16개 국·외산 L3 이상 스위치·라우터 제품 자율검증 실시

[디지털데일리 이유지기자] 오는 10월 의무화를 앞두고 있는 네트워크 장비 보안적합성 검증 시험기준이 확정됐다.

국가정보원과 국가보안기술연구소는 내달 10일 설명회를 열고, 10월 1일부터 국가·공공기관 도입시 의무화되는 L3 이상의 스위치·라우터 등 주요 네트워크 장비의 보안적합성 검증 시험기준을 공개한다.

지난해 초, 국정원은 그간 정보보호 제품에만 도입됐던 네트워크 장비의 보안적합성 검증 의무화 방침을 정한 뒤 작년 9월부터 시범검증을 실시해 왔다.

작년 12월에는 네트워크 장비의 최소 보안요구사항을 정해, 네트워크 장비업체들이 적합성 검증 전면시행에 대비할 수 있도록 지원해 왔다.

시험기관인 국보연에서 제시한 시험항목과 절차 등에 따라 실시한 ‘자율검증’에는 16개 국·외산 장비업체가 참여했다. 조만간 발표될 적합성 검증 시험기준은 이들 시험 결과와 네트워크 장비 특성 등을 반영해 확정됐다. 업체들의 ‘자율검증’ 기준이 됐던 최소 보안요구사항이 구체화되고 확장된 형태가 될 것으로 예상된다.

최소 보안요구사항은 ▲안전한 패스워드 설정 등 식별·인증 ▲설정규칙에 따른 트래픽 제어 등 정보흐름통제 ▲보안관리 ▲자체시험 ▲안전한 세션관리 ▲접근통제 ▲전송 데이터 보호 ▲감시기록의 8개 분야 총 21종으로 구성돼 있다.

24일 미래창조과학부가 주최하고 정보통신산업진흥원 등 관련기관이 공동 주관한 ‘코리아 인터넷 컨퍼런스(KRnet) 2014’에서 장상운 국보연 실장은 “네트워크 장비 최소 보안요구사항을 작년 12월 발표한 이후 실시한 업계의 자율검증에 16개 업체들이 참여했다. 대부분 최소 보안요구사항이 잘 구현돼 있었지만, 몇몇 예외적 경우에는 아직 미흡한 것을 발견했다”면서 “시험 결과 자료 등을 분석, 활용해 시험기준을 구체화했다”고 말했다.

네트워크 장비 가운데 스위치·라우터·IP교환기에 우선 적용되는 보안적합성 검증 의무화 제도는 모든 국가 ·공공기관이 이들 장비를 도입하기 위해 올해 10월 1일부터 맺는 계약 건부터 발효된다.

<이유지 기자>yjlee@ddaily.co.kr