[디지털데일리 홍하나기자] 보안적합성 검증제도가 바뀐다. 내년부터 보안 이동식저장장치(USB), 자료유출방지, 네트워크 장비, 가상화관리, 망간자료 전송 제품은 국제공통기준(CC) 인증이 아닌 ‘보안기능 시험결과서’가 있어야 공공·국가 기관에 납품할 수 있다.

최근 국가·공공기관에 망분리 기조가 확산되면서 보안을 강화해야 한다는 필요성이 제기되고 있다.기존에는 국가용 보안요구사항을 만족하지 않은 제품도 CC인증을 받으면 국가·공공기관에 납품할 수 있었다. 국정원은 이번 제도 시행으로 해당 품목의 보안을 강화할 수 있을 것으로 내다봤다.

국정원은 30일 서울 강남구 과학기술회관에서 ‘보안적합성 검증 제도운영 변화’ 설명회를 열고, 바뀔 내용에 대해 설명했다.

내년부터 바뀌는 ‘보안적합성 검증 제도운영’은 오는 2020년 1월부터 시행한다. 대상은 보안USB, 자료유출방지, 네트워크 장비, 가상화관리, 망간자료 전송 제품 등 5가지다. 앞으로 기업들은 국가·공공기관에 5가지 제품을 납품하기 위해 CC인증 대신 ‘보안기능 시험결과서’를 받아야 한다. 유효기간은 2년이다.

보안기능 시험결과서는 ‘선(先) 도입 후(後) 검증’에서 ‘선검증 후도입’으로 바뀐다. 5가지 품목은 앞으로 보안기능 실험결과서를 국정원에 제출해, 통과될 경우 국가·공공기관에 도입된다. 검증이 완료된 제품은 국가 정보공유시스템의 ‘검증필 제품목록’에 등재된다.

또 가상화 관련 제품은 가상화 관리제품과 가상화제품으로 나뉜다. 가상화 제품은 기존처럼 CC인증을 받으면 된다. 단 가상화관리제품은 보안기능 시험결과서를 제출해야 한다.

이번 보안적합성 검증 제도운영 변화에 가장 큰 목적은 보안성 강화다. 국정원 관계자는 “망분리 정책이 시행된 이후 국가·공공기관에 망분리가 정착됐다. 내부망과 외부망 사이의 해킹사고를 막는 것이 중요하다”며 “보안을 강화하기 위한 목적”고 설명했다.

한편, 변화된 내용의 보안적합성 검증 제도는 3단계에 걸쳐 시행된다. 오는 2020년부터는 보안USB, 네트워크 장비, 가상화 관리가 대상이다. 2021년부터는 호스트, 네트워크 자료유출 방지제품이 대상. 2022년에는 망간 자료전송 제품이 적용된다.

단 CC인증 만료 제품부터 적용된다. 만약 오는 2020년 3월 31일까지 CC인증이 유효한 보안USB제품의 경우, 해당 날짜 이전에 보안기능 실험결과서를 신청해야 한다.

국정원 측은 “2020년 1월 기준으로, 국내용 CC인증이 유효하다면 국가·공공기관 도입이 가능하다”며 “다만 CC인증 만료일 이후에는 인정이 안되기 때문에, 그 전에 시험결과서를 발급받아야 한다”고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr