- 2016년부터 TTA 베리파이드 인증 버전4 획득 제품만 도입 가능

[디지털데일리 이유지기자] 행정기관 인터넷전화 장비의 보안성을 검증할 새로운 인증규격이 확정됐다.

한국정보통신기술협회(TTA)는 16일 오후 분당 TTA 대회의실에서 설명회를 열고 내년부터 IP교환기(IP PBX) 등 인터넷전화 장비를 대상으로 실시할 새로운 베리파이드(Verified) 인증 버전4의 보안·인증규격을 발표했다.

국가보안기술연구소와 TTA가 공동으로 개발한 새로운 인증 시험기준은 국가정보원의 네트워크 장비 보안성 검증 정책 시행에 따라 기존 버전3을 기반으로 주요 보안기능을 추가해 마련됐다.

TTA는 올 연말부터 장비 시범검증을 실시해 내년 1월부터 정식 시험인증을 진행할 예정이다. 2016년부터는 새로운 행정기관 인터넷전화 베리파이드 인증 버전4를 받은 제품만 국가·공공기관에 납품할 수 있다.

새로운 인증 버전4에서는 기존에 IP PBX, IP폰, 게이트웨이로 분류해온 것을 인터넷전화 서버, 인터넷전화 단말 두 종류로 단순화했다. 따라서 게이트웨이나 통합형 솔루션 장비 등은 TTA와 사전협의를 거쳐 인증체계를 선택하면 된다.

인증 버전4의 시험기준은 인터넷전화 서버의 경우 필수 27, 선택 14개 항목이며, 인터넷전화 단말은 필수 18, 선택 6개로 구성돼 있다.

신설된 필수 보안기능 시험 항목은 ▲안전한 비밀번호 설정 등 식별 및 인증 ▲112비트급 이상의 안전한 암호화 및 해시알고리즘 사용 등 암호지원 ▲원격 관리자콘솔 접속 IP제한, 세션관리 등 보안관리 ▲제품 구동시 자체 검사·오류 검사 기능 제공 등 자체 시험 ▲관리자 계정별 접근권한 설정 등 접근통제 ▲암호통신 프로토콜 사용, 오픈SSH·오픈SSL 버전 확인 기능 등 전송데이터 보호 ▲감사기록 ▲인증서관리 등이다.

버전3에 포함돼 있던 표준 프로토콜(SIP·RTP), 호제어 보안(TLS1.2), 음성트래픽 보안(sRTP), 보안통신(인증서 검증), 코덱 지원, 부가서비스 지원 등의 필수 항목은 그대로 유지, 시행된다. 기존에 버전3 인증을 획득한 장비는 버전4의 새로운 보안규격만 추가 인증 받으면 된다.

TTA는 올해 4분기에 예비검증 및 일괄인증(CW, Certification Wave)을 실시해 장비 업체들이 사전에 준비할 수 있도록 지원할 계획이다. 이를 위해 CW 협의회를 구성해 업체별 오픈랩과 예비검증 일정을 배분할 예정이다.

공공기관에 TTA 베리파이드 인증 버전4 획득제품만 도입 가능한 2016년부터는 기존의 버전 1·2·3 인증이 TTA 인증 목록에서 제외된다.

TTA 네트워크시험인증단의 박종원 선임연구원은 “기존 인터넷전화 베리파이드 인증은 도청 등 통신 보안 중심의 시험기준 항목으로 구성됐지만 버전4에서는 장비 운영관리를 포함해 전반적인 보안기능이 강화됐다”며 “작년에 시행한 미래창조과학부의 민간 인터넷전화 장비 보안 인증제와 유사해 업체들이 버전4 인증을 진행하는데 큰 무리는 없을 것”이라고 말했다.

한편, 국정원은 오는 19일 행정기관 대상 설명회를 열고 10월부터 L3 이상 스위치, 라우터에 의무화되는 보안적합성 검증제도와 더불어 오는 2016년부터 의무 시행되는 인터넷전화 베리파이드 인증 버전4 관련정책을 소개할 예정이다.

<이유지 기자>yjlee@ddaily.co.kr