- 필수항목 27개 포함 총 44개 구성, IP교환기 보안기능 검증기준 9월 공개

[디지털데일리 이유지기자] 오는 10월부터 국가·공공기관이 도입하는 L3 이상 스위치, 라우터에 보안적합성 검증이 의무화된다. 당초 의무화 대상에 포함됐던 IP교환기는 제외된 대신에 보안요건이 강화된 한국정보통신기술협회(TTA) 인증(Verified 인증)을 사전에 획득한 장비만 사용할 수 있게 된다.

국정원은 국가보안기술연구소와 함께 10일 분당 TTA 대회의실에서 개최한 설명회에서 이같은 네트워크장비 보안성 검증정책을 밝히고, 스위치·라우터에 적용될 보안기능요구사항을 발표했다.

이날 공개한 최종 보안기능요구사항은 지난해 12월 공개한 최소보안요구사항 21개 항목에서 세분화됐다. ▲식별 및 인증 ▲암호지원 ▲정보흐름통제 ▲보안관리 ▲자체시험 ▲접근통제 ▲전송데이터 보호 ▲감사기록 등 8개 대분류 44개 항목(필수 27개, 선택 17개)으로 구성된다.

이같은 최종 항목은 국정원과 국보연은 지난해 12월 공개했던 최소보안요구사항을 기준으로 올 4월까지 실시한 국내외 장비 16개 자율검증 결과와 현재 시행중인 시범검증 내용을 반영했다.

필수 보안기능에 해당되는 27개 항목을 제외한 선택항목은 현재 업체들의 장비에 구현된 기능을 고려해 향후 단계적으로 강화해야 할 보안기능이거나 구현될 경우 만족돼야 하는 사항을 정의했다. 보안기능요구사항의 객관성과 신뢰성 확보를 위해 네트워크, 정보보호, 해킹·취약성 분야의 전문가로 별도의 검증위원회도 구성해 각 항목을 검토·심의해 도출한 결과다.

보안기능 시험과 취약점 시험, 비정상 행위를 기준으로 이뤄질 네트워크장비 보안적합성 검증은 올 9월 말까지 1년간 운영해온 시범검증기간이 끝나는 10월 1일부터 국가·공공기관이 사용하기 위해 계약하는 L3 이상 스위치·라우터 장비부터 적용된다.

국가·공공기관은 이들 장비 도입시에 국정원에 보안적합성 검증을 신청해야 한다. 국정원은 국보연에 시험을 의뢰하게 된다. 네트워크 장비가 보안기능요구사항을 준수하고 있으면 적합성 검증 시험을 단기간에 마칠 수 있다. 원활하게 장비가 도입되기 위해서는 사전에 장비업체별로 미비한 보안요구 항목을 보완해야 한다.

다만 도입장비가 모든 보안요구사항을 준수하지 않더라도 국가기관이 그에 준한 보안대책을 강구했다면 해당장비를 도입해 운용할 수 있다는 것이 국정원의 설명이다. 보안요구사항이 만족되지 않은 장비의 해당 기능은 사용이 제한된다.

이와 함께 국정원은 네트워크 장비에 보안적합성 검증 시행으로 원활한 장비 공급과 영업에 지장을 받을 수 있다는 우려를 감안해 최대한 신속하게 검증이 완료될 수 있도록 방안을 강구할 방침이다.

국정원 관계자는 “사전에 다른 국가기관이 도입해 보안적합성 검증을 완료한 장비와 동일 장비라면 검증 신청 후 요구사항을 만족하는지 확인만 이뤄지면 바로 운용할 수 있도록 검증 장비목록과 해시값을 관리할 계획”이라며 “시행 후 지속적으로 검증절차를 개선해나갈 방침이며, 사전에 사업진행단계에서 컨설팅을 수행하는 등 기관이 자체적으로 검증을 진행할 수 있도록 방안을 마련해 나가겠다”고 밝혔다.

IP 교환기의 경우엔 별도의 보안기능 검증기준을 만들어 오는 2015년 1월부터 적용할 예정이다. 이를 위해 국정원은 국보연, TTA과 함께 현재 IP교환기 보안기능 검증기준안을 마련하고 있다.

현재 운영하고 있는 TTA 베리파이드 인증 버전3에 추가적인 보안기능을 확인할 수 있도록 기준을 연말까지 수정, 추가할 예정이다. 이미 버전3 인증을 받은 제품은 보안기능을 추가로 확인받으면 된다. 확정된 검증기준안은 오는 9월에 설명회를 열어 공개한다.

오는 2016년부터는 네트워크 장비에 국제공통평가기준(CC)도 의무화한다. 국정원은 스위치·라우터의 CC인증 정책은 아직까지 구체적으로 정하지 않았지만 “기존에 정보보호제품에 적용됐던 국가기관 도입절차와 동일하게 운영하지 않겠다”는 방침을 분명히 했다.

이에 따라 네트워크 장비의 국내용 CC인증을 신설할 지 여부나 기준이 되는 평가보증등급(EAL) 수준도 확실치 않은 상황이다. 네트워크 장비에 EAL 기반에서 변화된 새로운 협력보호프로파일(cPP)을 기준으로 CC평가를 수행할지 여부도 향후 정해지게 된다.

국제공통기준상호인정협정(CCRA)에서는 현재 미국이 네트워크 장비 보호프로파일(NDPP) 1.0버전을 제시해 운영하고 있는 상황이다.

현재는 향후 CC인증을 획득한 네트워크 제품을 국가·공공기관이 도입하더라도 보안적합성 검증은 반드시 받도록 한다는 정책만 수립한 상태다. 국정원은 CCRA의 진행상황이나 국내 여건 등을 고려해 향후 정책을 결정하겠다는 입장이다. 하지만 평가에 시간이 걸리는만큼 평가기관이나 업계에서 미리 준비를 해야하기 때문에 정책기관인 국정원과 인증기관인 국보연의 결정이 시급할 것으로 보인다.

한편, 이번 네트워크 장비 보안성 검증제도는 최근 관련장비의 보안취약점이 지속 발견되고 국가기관이나 중요국가시설을 대상으로 한 지능형 사이버공격 위협과 국가 기밀정보 유출 위험성이 커지면서 시행하게 됐다. 국내외에서 불거졌던 중국 장비의 보안 이슈와 미국 국가안보국(NSA)의 세계 각국에 대한 무차별 정보수집 논란이 직접적인 계기가 됐다. 여러 국내 네트워크·보안 전문가들은 그간 국가정보통신망의 안전성을 확보, 강화하기 위해 정보보호제품에 적용해온 수준의 네트워크 장비의 보안성검증제도를 도입하는 등 여러 방안을 강구해야 한다는 의견을 지속 제기해왔다.

<이유지 기자>yjlee@ddaily.co.kr