국가정보원이 그동안 일률적인 기준을 적용하던 국가ㆍ공공분야 IT보안제품 보안적합성검증 대상기관(2022년 3월 현재 3만여개)을 중요도에 따라 ‘가ㆍ나ㆍ다’ 세 그룹으로 분류, 검증요건을 차등 적용하는 내용의 검증체계 개편안을 마련해 11월1일부터 시행한다.

‘보안적합성 검증’이란 국가ㆍ공공기관이 도입하는 방화벽ㆍ네트워크 장비 등 IT보안제품의 안전성을 검증하는 제도로 국정원이 국정원법ㆍ전자정부법 등에 의거해 업무를 담당하고 있다.

‘가’ 그룹(전체의 5%)은 △중앙행정기관 △주요기반시설관리기관 △국방부 소속ㆍ산하기관 △방사청ㆍ경찰청 △주요 공공기관 등 국민 안전과 밀접하고 국가 중요시설을 관리하는 주요기관으로 기존 검증정책이 그대로 적용된다.

‘나’ 그룹(전체의 38%)은 △중앙행정기관 소속ㆍ산하기관 △기타 공공기관 및 각급 대학교 등으로 검증 절차가 다소 간소화된다. 제품 도입 시 △보안기능확인서 △국내ㆍ외 CC인증서 △성능평가결과확인서 △신속확인서 등 4개의 사전인증요건 중 하나만 획득해도 보안적합성 검증을 생략할 수 있다. 

‘다’ 그룹(전체의 57%)은 △중앙행정기관 산하 위원회 △기초자치단체ㆍ산하기관 △초ㆍ중ㆍ고 등 각급학교 등으로, 제품 도입 시 자체 판단으로 사전인증요건을 자율 지정할 수 있고 보안적합성 검증도 생략할 수 있다.

그동안 IT보안업계 내부에서는 국가ㆍ공공분야 기관의 중요도가 다름에도 국방부ㆍ방위사업청 등 중앙부처부터 일선 초등학교까지 똑같은 보안검증 정책이 적용돼 비효율적이라는 지적과 함께 제도개선의 필요성이 제기돼 왔다.

이번 개편안의 자세한 내용은 국정원과 국가사이버안보센터 홈페이지 ‘보안적합성 검증’ 코너 공지사항에 게재된 ‘신 보안적합성 검증체계’ 안내서를 통해 확인할 수 있다.

국정원 관계자는 “이번 개편안은 초연결ㆍ데이터 중심의 보안환경 변화를 적극 수용하고 규제 해소를 목적으로 한 만큼 업체ㆍ기관들의 그간 불편함과 부담감이 경감되길 기대한다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★