국가정보원 IT인증사무국(www.kecs.go.kr)이 보안적합성 검증필 목록 폐지에 따른 ‘국가·공공기관 정보보호제품 도입 기준 및 절차’를 발표했다. 이번 발표는 지난해 4월 밝힌 도입 기준에서 몇 가지 수정된 조치다.
이번 발표에서는 공공기관은 보안제품 도입 시 EAL2 이상의 CC 인증 획득 솔루션 가운데 선택해야 한다는 기본 원칙은 재확인됐지만, 몇 가지 예외가 허용되는 등 기존 발표와는 차이를 보였다.
CC인증을 획득하지 않아도 사용할 수 있는 예외는 저장자료 완전삭제 솔루션, 모바일 기기 보안 솔루션 등에 허용됐다. 이는 이들 제품군이 보안기능이 단순한 까닭. 하지만 CC 인증에서는 예외가 허용됐지만, 국가정보원장의 안전성 확인을 받도록 해 최소한의 보안 요구사항은 충족하도록 했다.
또 다르게는 ‘검증필 암호모듈’ 탑재 의무가 의무사항에서 권고사항으로 완화됐다. 국가용 암호제품, VPN, 보안USB 등과 같이 행정정보 유통·저장 용도로 도입되는 제품의 경우에는 기존과 같이 검증필 암호모듈을 반드시 탑재해야 한다.
검증필 암호화 모듈의 의무 탑재는 검증된 암호화 모듈의 수가 적어 기업의 반발을 불러일으켰으며, 이러한 업계 반발이 반영된 것으로 분석된다. 그렇지만 교체시기가 다가오면서 관심의 핵으로 부상하고 있는 VPN의 경우, 여전히 의무탑재 제품에 포함돼 있어 여전히 논란이 될 것으로 예상된다.
더불어 현재 국가보안성 검증필 목록에 등재된 제품의 경우에는 2009년 말까지 예외가 허용된다. 검증필 목록 제품이 연내 CC평가 계약을 체결할 경우, 계약일부터 2009년 12월 31일가지는 국가·공공기관 도입이 허용되는 것.
검증필 제품 중 아직까지 CC인증 계약을 체결하지 못한 솔루션이 있다면 서둘러 CC 평가계약을 체결해야 할 필요성이 대두된다고 할 수 있다. CC인증에 3~4개월의 시간이 소요된다는 점을 고려하면, 늦어도 8월 중 CC인증 계약을 체결해야 공공기관 진출에 지장을 받지 않게 된다.
강화되는 부문은 암호 기반 제품이다. 암호제품의 경우, 국가암호정책과 직결된다는 점을 감안해 국정원은 ‘국가용 암호제품 지정제도’를 신설한다고 밝혔다. PKI, SSO, 디스크/문서 등 암호화 솔루션, 구간 암호화, 메일 암호화, 키보드 암호화, 보안토큰 등의 제품은 검증필 암호모듈을 필수적으로 탑재하는 것 외에도 국가용 암호제품으로 지정받아야만 국가·공공기관에 공급할 수 있게 되는 것이다.
이에 따라 PKI, 문서 암호화 제품 등을 출시하고 있는 기업은 공공기관 공급을 위해서는 국가보안기술연구소에 국가용 암호제품 지정을 신청, 국정원장으로부터 지정을 받아야만 한다. 국가용 암호제품 지정을 위한 세부절차는 2009년 6월 1일 IT인증사무국 홈페이지에 게시될 예정이다.
국가용 암호제품 지정은 또 다른 논란을 부를 전망이다. 이미 국가기관의 검증을 획득한 검증필 암호모듈을 탑재하고 있음에도, 다시 국가용 암호제품으로 지정받아야만 공공기관 공급이 가능하다는 점에서 불필요한 규제란 논란을 일으킬 수 있기 때문이다. 한 단계의 절차가 증가하는 것은 제품 도입의 적시성을 잃게 될 수 있다는 점도 문제로 지적된다.
