공공 IT보안제품 검증 문호개방…'국가용 보안요구사항' 개정·공개

국정원 웹사이트서 최신 개정 문서 배포

새로운 보안제품 유형 검증 가능성 열려

유예기간 2년…개정판과 기존 기준 병행

[자료=국가정보원]

 

국가·공공기관에 도입되는 IT보안제품의 보안적합성을 검증하는 '국가용 보안요구사항'이 2개의 공통요구사항과 27개의 제품별 요구사항으로 확대 시행에 들어갔다. 또 보안기능시험·공통평가기준(CC)인증을 시험·평가 기관에 신청해야만 열람할 수 있었던 국가용 보안요구사항 문서가 국가정보원 웹사이트를 통해 인터넷으로 누구나 볼 수 있게 공개됐다.

국가용 보안요구사항 개정에 따라 보안적합성 검증 대상이 될 수 있는 IT보안제품 유형이 다양해졌고, 새로운 유형의 IT보안제품의 보안적합성도 검증받을 수 있게 됐다. 이는 정부부처, 산하기관, 지방자치단체 등 국가·공공기관이 새로운 IT보안제품을 도입해 고조되는 사이버위협에 선제 대응하고, 제품 공급기업의 보안기술 연구·개발 투자를 촉진할 수 있다.

3일 현재 국정원은 홈페이지를 통해 '국가용 보안요구사항 V3.0' 문서를 배포하고 있다. 전체 보안요구사항에 대한 해설과 서버·엔드포인트 유형의 제품군에 대한 공통보안요구사항을 담은 '1, 2편 해설 및 공통보안요구사항'을 비롯해 침입차단, 가상화, 네트워크장비 등 개별 유형 제품군 보안요구사항을 9개의 PDF 파일로 작성해 제공하고 있다.

개정된 국가용 보안요구사항은 국가·공공기관에 도입되는 보안기능이 있는 정보통신기기가 기본 구현해야 하는 보안기능의 종류, 구현방식, 강도 등을 서술한 문서다. 이는 보안기능시험 제도와 국내용 CC인증 제도의 시험기준, '국가용 보호프로파일(PP)'의 기술적 기준으로 활용된다.

모든 검증 대상 제품에 공통으로 적용되는 '공통보안요구사항'과 제품별로 적용하는 '제품 보안요구사항'으로 나뉜다. 공통보안요구사항은 '서버'와 '엔드포인트' 등 2종이며, 제품 보안요구사항은 정보보호시스템의 경우 '침입차단시스템(IPS)', '안티바이러스제품' 등 24종, 네트워크장비의 경우 '스위치·라우터', 'SDN스위치' 등 3종으로 구성돼 있다.

이달 2일부터 문서 공개와 동시에 시행됐다. 다만 공개 시점으로부터 오는 2023년 4월 1일까지 2년간은 유예기간이다. 기업들은 IT보안제품에 대한 보안기능시험 또는 국내용 CC인증 시험·평가 기준으로, 개정 전의 국가용 보안요구사항과 개정판 국가용 보안요구사항 중 하나를 선택할 수 있다.

국내용 CC인증 제도 운영을 맡고 있는 IT보안인증사무국에 따르면, IT보안제품 개발 기업은 기존 국가용 보안요구사항으로 국내용 CC인증을 받은 제품에 대해 유예기간 안에 해당 인증서의 효력을 연장할 수 있다. 단, 인증서 효력 연장의 소요기간을 고려해 유예기간 내에 연장 절차가 완료되도록 충분한 시간을 확보해 연장을 신청해야 한다.

또 오는 2023년 4월 2일 유예기간이 지난 시점부터는 IT보안제품 개발 기업들이 이번에 개정된 국가용 보안요구사항을 적용한 국내용 CC인증 시험·평가만 진행할 수 있다. 유예기간 만료 이후에는 더 이상 기존 국가용 보안요구사항을 적용한 인증제품의 인증서효력 연장을 허용하지 않는다. 단, 인증서효력이 남은 제품의 '효력유지(변경승인)'를 신청할 수는 있다.

국가용 보안요구사항 개정 작업은 지난 2019년 7월부터 시작됐다. 국정원은 업계와 관계기관으로부터 529건의 기술 제안을 받았고 437건을 반영했다. 보안기능시험·CC인증평가의 대상이 될 수 있는 IT보안제품의 유형은 기존 22개에서 공통요구사항 2개와 제품별 보안요구사항 27개로 늘어났다.

개정된 국가용 보안요구사항은 여러 유형이 결합된 IT보안제품을 시험·평가할 때 각 유형의 제품별 보안기준을 통합 적용할 수 있도록 했다. 또 제품에 적용할 수 있는 국가용 보안요구사항이 제정되지 않았을 경우에도 개발업체, 시험기관, 관련 전문가 등이 '일반 보안요구사항'을 작성하고 이를 대상 제품의 시험에 적용할 수 있게 했다.
 

국가용 보안요구사항 체계와 현황 표. [자료=국가정보원]