국가정보원(원장 서훈. 이하 국정원)은 15일 한국과학기술회관 대회의실에서 '보안적합성 검증 제도 관련 정책 설명회'를 열고 2016년 7월 1일부터 운영중인 '보안기능 시험결과서' 발급과 관련 변경 사항에 대해 관련 업계와 정보를 공유하고 의견을 수렴하는 시간을 가졌다.

이날 주요 내용은 국가·공공기관에서 도입하는 정보보호시스템에 대한 안전성 검증 제도 가운데 '보안기능 시험결과서'에 대해 △어떤 제품이 대상이 되고 △어떻게 발급을 받고 △과거에 비해 달라진 내용은 무엇인지 설명하는 시간이었다.

국정원 관계자는 "보안기능 시험결과서 운영 목적은 검증절차 간소화와 도입전 보안성 강화에 있다. 국제CC인증을 받은 제품은 국가·공공기관에서 도입후 보안적합성 검증을 신청해야 하는 행정절차적 번거로움이 있다. 하지만 보안기업에서 사전에 보안기능 시험결과서를 발급받게 되면 도입 이후 보안적합성 검증 신청을 생략해도 되고 또 사전에 제품의 보안성을 제고할 수 있다는 두 가지 장점이 있다"고 설명했다.

다음은 이날 공지된 '보안기능 시험결과서' 주요 변경사항에 대한 내용이다.

◇발급 대상 제품의 변경사항은

이번에 변경된 내용으로 발급 제품 대상이 대폭 확대됐다. 모든 ICT 정보보호 제품이 대상이다. 이외 네트워크 장비(L3 이상 스위치, 라우터)와 SDN 장비(컨트롤러, 네트워크 장비)도 대상에 포함된다. 즉 정보보호 제품, 네트워크 장비 등 국정원이 발급을 허용한 모든 제품이 대상이 된다.

다만 가상화 혹은 모바일 보안제품 등 일부 제품은 시험결과서 발급이 제한된다. 자세한 사항은 시험기관과 검증기관을 통해 확인해야 한다.

◇보안기능 시험결과서 발급 제도 관련 기관은

국정원은 시험결과서 발급과 관련 정책업무를 주관하는 정책기관이고 국가보안기술연구소 보안적합성 검증센터가 검증기관으로 제반 업무를 맡고 있다.

시험기관은 총 8개 기관이 담당한다. △한국정보통신기술협회(TTA) 정보보호평가단/방송통신인프라단 △한국정보보안기술원(KOIST) △한국아이티평가원(KSEL) △한국기계전기전자시험연구원(KTC) △한국시스템보증(KoSyAs) △한국인터넷진흥원(KISA) △한국산업기술시험원(KTL) △한국전자통신연구원(ETRI) 네트워크 품질연구센터 등이다.

◇발급 기준과 유효기간 변경사항은

발급 기준에서 변경사항을 살펴보면, 현행은 기본 보안기능을 만족하면 발급이 됐지만, 2019년 1월1일부터 국가정보원이 필수로 요구하는 제품별 필수 보안기능 항목까지 충족해야 발급 받을 수 있다.

국정원이 필수로 요구하는 보안기능이란 ‘기본 보안요구사항’의 필수 항목과 ‘제품별 핵심 보안기능’을 의미한다. 단 방화벽 등 CC인증 필수 유형(24종), 네트워크 장비 및 SDN 장비의 경우 국정원이 공지한 보안규격에서 필수로 구분된 항목을 의미한다.

시행기간과 효력 유효기간에서도 변경이 있었다. 우선 국정원 측은 현행 보안기능 시험결과서 발급은 2018년 12월 31일까지였으나 2020년 12월 31일까지 연장 시행하며 향후 제도 운영 계획은 별도 공지한다고 밝혔다. 의무적용시점은 2019년 1월 1일부터다.

또 효력 유효기간에 대해서도 현행 발급일로부터 1년이었지만 최대 3년까지 연장이 가능하다고 전했다. 국정원이 필수로 요구하는 보안기능을 만족한 제품의 경우 2년, CC인증을 받은 기타 제품은 1년으로 변경했고 유효기간 연장을 통해 최대 3년까지 유효기간 유지가 가능하다. 보다 자세한 사항은 신청서를 참고하면 된다.

한편 기존 발급된 제품에 대해서는 효력 연장 기간을 부여한다고 전했다. 올해 1월부터 6월 30일 이전 발급된 보안기능 시험결과서 대상 제품에 한해서는 2019년 6월까지 효력 연장이 가능하다. 연장 기간 내에 개선(변경)된 시험결과서 시험기준에 맞게 보완할 시간을 주겠다는 것이다.

덧붙여 국정원 측은 "국정원은 3월 15일 현재 시점부터 개선된 시험결과서 시험기준에 맞게 시행할 준비가 돼 있다. 업체들이 준비만 돼 있다면 지금도 신청이 가능하다"고 전했다.

◇보안기능 시험결과서 발급 체계

보안적합성 검증 신청은 도입기관에서 해야 하지만 시험결과서는 제품개발업체도 할 수 있다는 점이 차이다. 신청기관이 보안업체와 도입기관 모두 가능한 것이다. 따라서 보안적합성 검증과 달리 보안기업에서 미리 시험결과서를 발급받아 두게 되면 국가 공공기관 납품시 편리하게 된다는 것.

시험결과서 발급 체계는 다음과 같이 이루어진다. ①신청기관(업체/도입기관)이 시험기관(8개 기관)에 시험신청 ②시험기관과 검증기관(국보연)에서 시험 및 검증기준 합의 ③시험기관이 검증기관에 시험결과서 결과 제출 ④검증기관이 시험결과서 결과 검토 ⑤시험기관이 신청기관에 시험결과서 발부 ⑥시험기관이 검증기관에 시험결과서 현황 제출 ⑦검증기관이 정책기관(국정원)에 시험결과서 현황 제출 ⑧정책기관이 검증기관에 검증기준 승인 및 시험성적서 발급대상 제품 조정 ⑨신청기관은 사용기관(국가 공공기관)에 시험결과서 제출하고 동시에 국정원은 사용기관에 발급현황을 공지하는 순으로 이루어진다.

다음은 국정원에서 공지하고 있는 보안기능 시험결과서와 관련 FAQ 내용이다.

◇보안기능 시험결과서 FAQ

Q : 보안기능 시험결과서’ 발급 신청시 필요한 서류는?
A : ①시험신청서 ②제품 설명서 ③보안기능 설명서 ④보안기능 운용설명서 ⑤보안기능 자체 시험결과서(선택)⑥CC인증서 사본(해당되는 경우), ⑦보증 서약서 등을 미리 준비하여야 한다. 

Q : 보안기능 시험결과서’를 반드시 발급받아야 하나?
A : 아니다. 업체에서 보안적합성 검증 신청을 생략하려 할 경우 선택해 발급 받으면 된다. 다만, 도입하고자 하는 국가·공공기관에서 안전성이 어느 정도 확인된 제품을 납품 받기 위해 ‘보안기능 시험결과서’가 발급된 제품을 요구할 수 있다. 

Q : 국가·공공기관에서 ‘보안기능 시험결과서’ 발급 제품을 도입할 경우 별도로 보안적합성 검증 신청을 하지 않아도 되나?
A : 그렇다. 추가로 보안적합성 검증 신청을 할 필요는 없다. 상급 기관에 도입확인서를 제출하면 된다. 또한 ‘보안기능 시험결과서’ 상세 시험결과를 확인하고 운용하기 전에 미흡한 보안기능이 있다면 해당 보안기능에 대한 보안대책 수립결과도 도입확인서와 함께 제출해야 된다.

Q : 국가·공공기관에서 ‘보안기능 시험결과서’ 발급 제품을 납품받을 경우 무엇을 확인해야 하나?
A : 해당 기관 제출용으로 발급받은 ‘보안기능 시험결과서’ 사본과 상세 시험결과를 납품업체로부터 제출 받으면 된다. 다만 ‘보안기능 시험결과서’의 ‘사번 번호’가 해당 기관에 부여된 번호인지를 반드시 확인해야 한다.

Q : 국가·공공기관에 납품시마다 ‘보안기능 시험결과서’ 사본을 제출해야 하나?
A : 보안적합성 검증 신청을 생략하기 위한 용도로 사용하고자 할 경우에만 시험기관에서 발급받아 제출하고 ‘보안기능 시험결과서’ 상세 시험결과도 함께 제출하면 된다. 

Q : ‘제품별 핵심 보안기능’은 무엇을 의미하는가?
A : 국가정보원이 기본적으로 요구하는 ‘기본 보안요구사항’ 이외에 해당 제품에 특징적으로 있는 보안기능을 말하며, 침입차단제품의 경우 침입차단 기능 등이 ‘제품별 핵심 보안기능’이 된다. ‘제품별 핵심 보안기능’은 제품의 특성을 확인해 시험 착수 전에 결정하며 ‘기본 보안요구사항’의 필수 구현항목과 함께 반드시 구현되어야 ‘보안기능 시험결과서’ 발급이 가능하다.

Q : IT보안인증사무국 홈페이지에 등재된 국내용 CC인증을 받은 제품이다. ‘보안기능 시험결과서’ 발급이 가능한가?
A : 발급받을 필요가 없다.

Q : 국가정보원 홈페이지에 등재된 ‘국가용 PP’를 준수해 CC인증 받은 제품이다. ‘보안기능 시험결과서’ 발급이 가능한가?
A : 발급받을 필요가 없다. 국가정보원이 승인한 ‘국가용 PP’로 CC인증을 받은 제품은 보안적합성 검증 신청 생략 대상이다.

Q : CC인증 받은 제품으로 ‘보안기능 시험결과서’를 발급 받았다. 유효기간 연장이 어떻게 적용되나?
A : 발급 받은 시기 및 국가정보원이 필수로 요구하는 보안기능 만족 여부에 상관없이 1년 유효기간으로 2회 연장이 가능하다.

Q : 국가·공공기관 도입기준으로 CC인증 필수 제품의 경우 인증 유효기간이 만료되어도 ‘보안기능 시험결과서’ 발급이 가능한가?
A : 발급되지 않는다.

Q : CC인증 필수유형 제품이 아니라면 CC인증 제품 유효기간이 만료되더라도 ‘보안기능시험결과서’가 발급되나?
A : 발급이 가능하다. 다만 해당 제품은 더 이상 CC인증 효력이 없기 때문에 국가정보원에서 필수로 요구하는 보안기능을 구현해야만 ‘보안기능 시험결과서’ 발급이 가능하다.

Q : CC인증 필수 유형 제품으로 ‘보안기능 시험결과서’를 발급 받았다. ‘보안기능 시험결과서’의 유효기간을 연장하고자 할 경우 CC인증 효력이 만료된 제품의 경우 연장이 가능한가?
A : 연장이 불가하다. 또한 신규 재발급도 불가하다.    

Q : 국가·공공기관 도입기준으로 CC인증을 필수로 요구하는 제품이다. CC인증 제품의 유효기간과 관련 ‘보안기능 시험결과서’ 발급 제한이 있나?
A : CC인증이 유효한 제품에 한해 ‘보안기능 시험결과서’ 발급 및 유효기간 연장이 가능하다. 이에 따라 CC인증 유효기간까지만 ‘보안기능 시험결과서’ 유효기간이 조정되어 발급될 수 있다.   

★정보보안 대표 미디어 데일리시큐!★