국정원, 국가기관 납품 정보보호제품 인증절차 대폭완화

앞으로 정보보호제품을 국가·공공기관에 납품하려면 반드시 거쳐야 하는 국제공통평가기준(CC)인증의 대상이 대폭 완화된다.

국가정보원 IT보안인증사무국은 21일 오는 6월 1일부터 시행되는 국가·공공기관 도입 정보보호제품 국제공통평가기준(CC)인증 일원화 및 도입기준·절차 변경사항을 공식 발표했다.

이 지침에 따르면 CC인증 적용대상이 기존 네트워크·컴퓨팅기반, 암호기반, 보안USB 등 정보보호 관련 모든 제품에서 네트워크·컴퓨팅 기반 제품으로 대폭 축소된다.

이에 따라 별도 비용을 들여 CC인증을 받아야 했던 정보보호 업체들의 부담이 크게 줄어들게 됐다.

국정원은 이와 함께 국가용 암호제품 지정제도를 신설하고, 공공기관에 도입되는 정보보호 제품의 검증필 암호모듈 탑재 의무화를 제도 시행 6개월 만에 ‘권고’ 사항으로 변경키로 했다.

국가용 암호제품 지정제도가 신설됨에 따라 국가·공공기관에 납품을 하려는 암호기반 제품 개발업체는 시험기관인 국가보안기술연구소에 ‘국가용 암호제품 지정’을 신청해야 한다.

대상은 △공개키기반구조(PKI) △싱글사인온(SSO) △디스크·파일·문서 암호화 △구간 암호화 △메일 암호화 △키보드 암호화 △하드웨어 보안토큰 등이다.

이 같은 암호제품들은 CC인증을 별도로 받지 않아도 국가보안기술연구소에 국가용 암호제품 신청을 하고, 시험을 거쳐 국가용 암호 제품 목록에 등재하면 국가 공공기관에 관련 제품을 납품할 수 있다.

또 보안USB 및 저장자료 완전삭제 제품 등 보안기능이 단순한 제품의 경우 CC인증 없이도 공공기관에 제품을 공급할 수 있게 됐다.

국정원 측은 “보안 기능의 차이 없이 모든 보안제품을 국가 공공기관에 도입하려면 반드시 CC인증을 받아야 한다는 기존 정책이 중소 보안업체에 부담이 된다는 지적이 있어 이같이 정책을 수정했다”고 밝혔다.

그러면서 “CC인증을 받기 위해서는 시간, 비용, 인력 등이 수반되는데 이번 지침 변화로 업계의 숨통이 트일 것으로 기대한다”고 말했다.