보안적합성 검증, IT 제품 전반으로 확산

앞으로는 보안적합성 검증 대상이 기존 정보보호 제품 뿐 아니라 보안기능이 탑재된 정보기술(IT) 제품 전반으로 차츰 확대된다. 또 내년부터는 검증필을 획득한 제품이라도 중대한 변경 사항이 있을 때는 적합성 검증 절차를 다시 밟아야 된다.

국가정보원(원장 김만복 www.nis.go.kr)은 10일 서울 코엑스 컨퍼런스 센터에서 '정보보호제품 보안적합성 검증정책 설명회'를 열고 이 같은 내용을 골자로 하는 '보안적합성 검증제도 개선사항'을 발표했다.

보안기능 구현 IT 제품의 보안적합성 검증 방안을 강구한다는 것이 이번 발표의 요지.

보안적합성 검증을 담당하는 IT보안인증사무국은 디지털복합기 뿐 아니라 전사적자원관리(ERP)·지식관리시스템(KMS)·고객관계관리(CRM) 등 그룹웨어에 대한 보안적합성 검증 방안을 강구중이다.

보안기능과 IT제품의 융합 추세가 급속하게 전개되면서, IT 제품에 보안기능을 구현사는 사례 역시 늘고 있는 상황. 특히 최근 디지털 복합기 '웜'이 발견, 보안 위협에 노출됨에 따라 그 시급성이 더해지고 있다.

IT보안인증사무국은 복합기·그룹웨어 등 IT 제품에 대한 보안 위협이 증가함에 따라 이와 같은 방침을 정하고, 2008년 보안기능 구현 IT 제품의 보안적합성 검증을 권고하는 보안 가이드라인을 발표할 계획이라고 밝혔다.

이에 따라 앞으로 일부 정보보호 제품에 국한되던 보안적합성 검증 대상이 IT 제품 전반으로 확대, 그 수요가 크게 증가할 것으로 예상된다.

◆보안적합성 검증필 제품 '환골탈태' 막는다

국정원은 또 내년부터는 보안적합성 검증필 제품의 사후관리 체계를 한층 강화하기로 했다. 우선 2008년 1월부터는 업체가 직접 신청하는 것을 폐지하고, 도입기관이 신청하는 것을 원칙으로 한다.

이와 함께 보안적합성 검증필을 획득한 제품이더라도 기능 추가 및 운영체제(OS) 변경과 같이 중대한 변경사항이 있을 경우 새로운 제품으로 간주, 신규 제품군과 같은 적합성 검증 절차를 밟아야 한다. 이 때도 해당 업체가 아닌 정부기관 등의 도입기관이 신청을 해야 한다.

이는 지금까지 해당 업체의 임의적 보안기능 변경으로 인해 검증필 효력 유지가 곤란하거나, 잦은 사후관리 신청으로 다른 제품의 검증에 지장을 초래하는 사례가 빈발했기 때문.

뿐만 아니라 이미 보안적합성 검증필을 받은 제품의 기능을 변경·추가할 경우엔 사후관리 신청으로 적합성 검증 효력을 유지할 수 있다는 점을 악용하는 업체가 생기면서 개선의 요구가 있어왔다.

향후 제출문서의 사전 검토를 강화, 부실제품으로 인한 검증기간 장기화를 방지할 계획이다. 완성도가 낮은 제품 및 제출 문서로 검증을 신청할 경우 이를 제한하고, 잦은 보완이 예상되면 '부적합 판정'을 내리겠다는 것.

IT보안인증사무국 담당자는 "지금까지 완성도가 낮은 제품으로 적합성 검증을 신청, 오랜 검증 기간을 통해 '환골탈태'하는 경우가 많았다"며 "검증필 제품 사후관리 체계를 강화해 제도의 틈새를 메울 것"이라고 말했다.

아울러 검증 효력 유지기간을 검토, 내년 초 현재 IT보안인증사무국 홈페이지에 등재돼 있는 검증필 목록을 정리할 계획이다.