NEWS‎ > ‎

국가정보원 `국내인증제 신설, CC와 병행`

게시자: 한솔, 2013. 6. 26. 오전 12:22

2007. 03. 14


국가정보원 `국내인증제 신설, CC와 병행` 

정보보호제품 평가적체 해소 방안 발표 

유사정보보호제품에는 일괄평가방식 도입 

국제공통평가기준(CC)인증 평가적체 현상을 해소하기 위해 국내 평가인증제도를 신설, CC인증과 병행 운용하며 유사정보보호제품에는 일괄평가방식이 도입된다. 

국가정보원 IT보안인증사무국은 13일 코엑스 콘퍼런스센터에서 `정보보호제품 평가ㆍ인증제도 개선 설명회'를 개최하고 이같은 내용을 골자로 한 정보보호제품 평가적체 해소방안 및 상용 정보보호제품 국가기관 도입절차에 대한 개선안을 발표했다. 

한국정보보호진흥원(KISA)의 CC평가 인증은 보증등급별 모든 평가항목을 전수평가방식으로 진행하지만 국내평가인증제도는 기능 및 취약성 시험부문만 전수 평가로 진행하고 나머지는 샘플링으로 평가한다. 또 국제공인인증서 대신 국정원의 국내 인증서가 발급돼 국제공통평가기준상호인정협정(CCRA) 회원국간 상호 인정되지 않는다. 

국정원은 국내 평가인증제도를 시행할 경우 EAL4 등급 기준으로 평균 6~7개월이 소요되는 평가기간이 평균 3~4개월로 단축돼 평가업무의 효율성을 높일 수 있을 것으로 전망했다. 또 다양한 플랫폼에서 운영되는 동일한 펌웨어나 소프트웨어(SW) 등 유사정보보호 제품에 대해서는 일괄 평가 신청을 허용해 평가인증 업무의 효율성을 높이기로 했다. 이와 관련, 국내용 정보보호제품 평가인증 및 유사제품 일괄평가인증 세부 수행 지침을 제정, 15일부터 시행할 계획이라고 밝혔다. 

이 날 주제발표에 나선 사무국의 한 관계자는 "이 두 제도의 도입으로 정보보호제품 평가에 다양한 수요에 효율적으로 대처, 평가적체로 인한 업체들의 고충을 해결할 수 있을 것"이라면서 "평가 수요 분산효과로 평가기간뿐만 아니라 평가대기 기간도 지금보다 40% 이상 단축할 수 있을 것"이라고 말했다. 또 "진행 중인 민간평가기관 설립과 평가인력 양성이 CC인증 평가적체 해소를 위한 장기적 방안이라면 이번에 마련한 국내 평가인증제 도입과 유사정보보호제품 일괄평가는 단기적 관점에서 해결하려는 것"이라고 말했다. 

국정원은 내년 4월부터 공통평가기준(CC) 및 방법론(CEM) 3.1 버전을 의무 적용한다는 CCRA의 합의에 따른 CC 3.1 적용 계획도 밝혔다. 4월부터 평가인증업무에 3.1버전을 시범 적용하고 6월에는 방화벽과 침입탐지시스템(IDS) 등 14종의 보호프로파일(PP)을 3.1버전으로 전환한다. 내년 4월에는 최초 평가시 3.1 버전을, 2009년 4월부터는 재평가시 3.1버전을 필수 적용하고 현재 적용하고 있는 2.3 버전은 그 해 9월 말로 폐기할 계획이다. 

이외에 공개키기반(PKI)ㆍ데이터베이스(DB)보안 등 순수암호기반 제품들은 CC평가 인증 없이 보안적합성 검증을 받게 하는 등 종류별로 도입절차를 구분하는 개선안도 발표했다. 또 검증필 제품에 대해 보안등급제(가ㆍ나ㆍ다)를 실시, 자료의 중요도에 따라 적정제품 도입을 유도하기로 했다. 국정원은 보안등급제 시행과 제품별 보안등급 부여 원칙, 검증필 제품의 유효기간 2년으로 제한하는 등의 도입절차서를 이달 말 배포할 계획이다. 

출처 : 디지털타임즈 
http://www.dt.co.kr/contents.htm?article_no=2007031402010960713009
Comments