국가·공공분야 IT보안제품 ‘보안적합성검증’ 규제개선안 시행한다

국정원, 기관 중요도 따라 ‘가·나·다’ 나눠 검증요건 차등 적용
‘新 보안적합성 검증체계’ 홈페이지 게재... “업체·기관들 그간 불편함 경감 기대”

[보안뉴스 원병철 기자] 그동안 일률적인 기준을 적용하던 국가·공공분야 IT보안제품 보안적합성검증 대상기관(2022년 3월 현재 3만여 개)을 중요도에 따라 ‘가·나·다’ 세 그룹으로 분류, 검증요건을 차등 적용하는 내용의 검증체계 개편안을 마련해 11월1일부터 시행한다고 국가정보원이 밝혔다.

[이미지=국가정보원]

‘보안적합성 검증’이란 국가·공공기관이 도입하는 방화벽·네트워크 장비 등 IT보안제품의 안전성을 검증하는 제도로 국정원이 국정원법·전자정부법 등에 의거해 업무를 담당하고 있다.

‘가’ 그룹(전체의 5%)은 △중앙행정기관 △주요기반시설관리기관 △국방부 소속·산하기관 △방사청·경찰청 △주요 공공기관 등 국민 안전과 밀접하고 국가 중요시설을 관리하는 주요기관으로 기존 검증정책이 그대로 적용된다.

‘나’ 그룹(전체의 38%)은 △중앙행정기관 소속·산하기관 △기타 공공기관 및 각급 대학교 등으로 검증 절차가 다소 간소화된다. 제품 도입 시 △보안기능확인서 △국내·외 CC인증서 △성능평가결과확인서 △신속확인서 등 4개의 사전인증요건 중 하나만 획득해도 보안적합성 검증을 생략할 수 있다.

‘다’ 그룹(전체의 57%)은 △중앙행정기관 산하 위원회 △기초자치단체·산하기관 △초·중·고 등 각급학교 등으로, 제품 도입 시 자체 판단으로 사전인증요건을 자율 지정할 수 있고 보안적합성 검증도 생략할 수 있다.

그동안 IT보안업계 내부에서는 국가·공공분야 기관의 중요도가 다름에도 국방부·방위사업청 등 중앙부처부터 일선 초등학교까지 똑같은 보안검증 정책이 적용돼 비효율적이라는 지적과 함께 제도개선의 필요성이 제기돼 왔다.

이번 개편안의 자세한 내용은 국정원과 국가사이버안보센터 홈페이지의 ‘보안적합성 검증’ 코너 공지사항에 게재된 ‘新 보안적합성 검증체계’ 안내서를 통해 확인할 수 있다. 국정원 관계자는 “이번 개편안은 초연결·데이터 중심의 보안환경 변화를 적극 수용하고 규제 해소를 목적으로 한 만큼 업체·기관들의 그간 불편함과 부담감이 경감되길 기대한다”고 말했다.
[원병철 기자(boanone@boannews.com)]

보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
	보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
	전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
	2023년 클라우드 생태계를 위협할 다양한 보안이슈들
	전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
	피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
	2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
	밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
	주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
	메타버스, 주목받는 만큼 증가하는 보안위협
	스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야