2009년 5월 24일
보안적합성 검증필 제품, CC평가계약 체결하면 연말까지 도입 허용 

"국가·공공기관은 2009년 6월 1일 이후, CC인증을 획득한 정보보호 제품을 도입하는 것을 기본 원칙으로 한다. 국가·공공기관에 도입되는 네트워크기반 제품 및 컴퓨팅기반 제품은 EAL2 이상의 CC인증을 획득해야 한다." 

국가정보원 IT보안인증 사무국은 21일 다음과 같은 내용의 국가·공공기관 정보보호제품 도입기준 및 절차를 공지했다. 

6월 1일 부로 보안적합성 검증필 제품목록은 폐지되며, 검증필 제품목록에 등재된 제품 중 2009년 내 CC평가계약을 체결한 제품에 한해 2009년 12월 31일까지 국가·공공기관 도입이 허용된다. 

그 동안 보안USB, DB보안, 백신 등 일부 보안 제품은 CC인증 없이 보안적합성 검증필만 획득하면 공공기관에 납품이 가능했다. 검증필 제품 목록이 폐지됨에 따라, 이제 CC인증이 공공기관에 보안제품을 납품하기 위한 필수요건이 된 것이다. 보안USB, DB보안, 백신 등 업체들도 당장 6월 1일부터 CC인증 없이는 공공사업이 어려울 것으로 예상했으나, 다수 보안 업체들이 CC인증평가에 대응 못한 것을 감안해 연말까지 CC인증 준비를 하도록 유예기간을 준 것으로 추정된다. 

국가용 암호제품 지정제도 신설… VPN, 보안USB 암호모듈 탑재 의무화 
국정원은 국가·공공기관의 CC인증 제품 도입 원칙과 함께, 암호기반 제품에 대한 '국가용 암호제품 지정제도'를 신설한다. 암호기반 제품이 국가암호정책과 직결됨을 감안한 조치다. 

PKI, SSO, 디스크/파일/문서 암호화, 구간 암호화, 메일 암호화, 키보드 암호화, 하드웨어 보안토큰, 기타 암호제품은 검증필 암호모듈을 반드시 탑재해야 한다. 네트워크/컴퓨팅기반 제품 가운데 국가용 암호제품, VPN/ 보안USB 등 행정정보 유통, 저장 용도로 도입되는 제품은 검증필 암호모듈을 필수 탑재해야 한다. 

이번에 발표된 정보보호제품 도입 기준 및 절차에 따르면, 국가·공공기관은 CC인증 제품 및 국가용 암호제품 목록에 등재된 제품 중 선정해 도입하고, 검수 후 15일 이내 국가정보원장에게 보안적합성 검증을 신청해야 한다. 

또 암호기반 제품 개발업체는 시험 기관인 국가보안기술연구소에 '국가용 암호제품 지정'을 신청하고 최종 국정원장으로부터 국가용 암호제품으로 지정받아 국가용 암호제품 목록에 등재돼야 한다.

 김정은 기자jekim@itdaily.kr