NEWS‎ > ‎

정보보호 제품 CC평가 신청·수행기준 대폭 강화

게시자: 한솔, 2013. 6. 26. 오후 7:27

2008. 07. 28


8월 1일부터 한국정보보호진흥원(KISA)의 정보보호 제품 평가제도가 일부 변경된다. 


소폭의 변화이지만 국제공통평가기준(CC) 평가를 받으려는 제품의 평가제출물이나 보안기능시험 준비가 미비할 경우, 아예 평가계약을 맺지 못하거나 진행과정에서 평가를 중단될 수 있고 평가수수료도 오르기 때문에 수요업체들은 꼼꼼히 따져봐야 한다. 

이번 KISA의 평가제도 변경은 지난 4월 국가정보원과 행정안전부가 잇따라 발표했던 정보보호 제품 평가제도 개선계획을 정보보호 제품 평가기관인 KISA가 8월부터 적용키로 한 데 따른 것이다. 

◆평가신청·제출물 검토 강화=KISA는 CC평가를 신청하는 제품의 사전검토를 크게 강화하고, 평가계약과 착수시점을 일치시키기로 했다. 

평가기간을 단축시키기 위해 완성도가 높은 제품을 대상으로 평가를 수행한다는 것이 기본 방침. 따라서 평가제출물의 완성도나 사전보안기능 시험 결과가 낮을 경우 평가계약을 체결하지 못할 수도 있다. 

KISA는 평가제출물을 신청업체 담당자와의 대면 없이 받아 검토한 후, 이를 통과한 제품에 한해서만 사전보안기능 시험을 거쳐 메일 등 사전에 협의된 수단을 통해 검토결과를 최종 통보하기로 했다. 

또한 평가계약과 착수 시점을 동일하게 하기 위해 평가신청(제출물)→제출물 검토, 보안기능시험→접수증발급(평가신청접수)→평가계약대기→평가계약/평가착수의 절차로 진행하기로 했다. 

뿐만 아니라 평가신청 제품을 대상으로 평가기관이 요청한 사항에 대한 보완기간도 현행 국내용 CC 10일, 국제용 CC 15일에서 국내용은 5일, 국제용은 10일로 줄어든다. 

동일한 보완 요청사항을 3회 이상 발생할 시에는 평가를 중단하고, 심한 경우 평가계약을 취소·해지까지 할 수 있다. 

보안성평가단 조규민 팀장은 “평가기간을 단축하기 위해서는 평가기준을 강화할 수밖에 없다”면서, “수요업체들은 사전준비를 철저히 하는 것이 중요하다”고 말했다. 

KISA는 지난 2년 이상 평가적체가 계속되면서 올 3월 기준으로 CC인증을 받으려면 15개월 소요됐던 정보보호 제품 평가기간을 오는 9월까지 10개월, 내년 1월까지 6개월로 단축시키기 위해 평가인력을 50명 이상으로 늘렸다. 

◆평가수수료 상승, 국제용CC는 1억원 수준=평가수수료도 올라간다. 

지난해 8월부터 정보보호 제품 평가수수료는 제품의 복잡도와 보안기능, 평가기간에 따라 달라지는 종량제로 바뀌면서, 2500만원 안팎이던 KISA의 평가수수료가 CCRA(국제공통평가기준상호인정협정) 가입국과 민간평가기관 수준인 1억원으로 크게 오를 것으로 예고됐었다. 

하지만 올 7월까지 1년 동안은 60~75%의 할인율이 적용돼 사실상 수수료 상승폭이 없었다. 

오는 8월부터 1년 동안 KISA는 국제용 CC평가의 경우 현실화된 수수료를 적용하고, 국내용 평가는 중소기업에 한해 업체당 한 건은 50%의 할인률을 적용할 계획이다. 대기업과 국외기업은 물론 현실화된 수수료를 부과한다. 

이에 따라 방화벽과 같은 평가보증등급(EAL)4 수준의 국제용 CC평가를 받는 기업은 8000만원에서 1억원을 수수료로 내야 한다.

중소기업은 국내용 평가의 경우 5000만원이 부과된다. 여러 제품모델로 일괄평가를 받는 경우에는 한 번의 평가를 신청하는 것으로 인정받을 수 있어 유리하다. 

일괄평가를 수행할 때에는 운영환경이 동일한 부분은 제외하고 다른 것에 대해서만 현실화된 수수료가 적용된다. 

수수료 납부방식도 변화되는데, 이전에는 평가계약 시점에서 100% 납부하던 것에서 평가계약 및 착수 시점과 평가 종료시점에 각각 50%를 나눠 내면 된다. 

변경된 평가수수료는 8월 평가계약을 맺는 제품부터 적용될 예정이다. 

<이유지 기자>yjlee@ddaily.co.kr
Comments