보안뉴스 창간 17주년을 축하합니다!!

Home > SecurityWorld > 기획특집

[기획특집] 본격 시행되는 국가정보원 보안기능 시험제도 톺아보기

입력 : 2024-05-03 15:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
시행 첫 해, 5~6개의 보안기능 확인서 발급 전망

[보안뉴스 엄호식 기자] 국가정보원은 국가정보원법 제4조, 전자정부법 제56조, 사이버안보업무규정 제9조 등 관련 법령에 따라 국가·공공기관의 정보보호 시스템 및 네트워크 장비 등(이하 IT 보안제품)에 대한 보안대책을 수립·배포하며 국가·공공기관에 도입되는 IT 보안제품이 이에 부합하는지 검증하고 있다. 그리고 ‘보안기능 시험 제도(Security Function Test Program)’는 정보보호 시스템·네트워크 장비 등 IT 보안제품의 안전성을 사전에 검증해 사이버안보 위해(危害) 제품과 부실제품의 공공분야 유입을 막고 주요 국가기관의 사이버보안을 강화하기 위해 국가정보원이 운영하는 제도다.

[이미지=gettyimagesbank]


국가정보원은 지난 4월 1일부로 사이버안보 업무규정 제9조에 규정된 ‘보안기능이 있는 정보통신기기’에 해당하는 영상정보처리기기 제품군(IP 카메라, NVR 등)에 대한 보안적합성 검증을 시작했다. 이에 ‘국가정보원 보안기능 시험제도’의 주요 내용과 비용 및 소요시간 그리고 신청시 주의사항까지 자세하게 살펴봤다.

보안기능이 있는 정보통신기기는 ‘정보보호 시스템’과 ‘네트워크 장비’ 그리고 ‘제품의 유형이 정해지지 않은 신기술·신종 융복합 제품’ 등을 뜻하며, 보안기능 확인서는 △침입차단 제품군과 △침입방지 제품군 등 9개 제품군에 속하는 제품에 대해 발급된다. 그리고 4월 1일부로 영상정보처리기기 제품군(IP 카메라, NVR, VMS 등)이 추가됐다.

IP 카메라는 일정한 공간 또는 특정한 위치에 설치돼 지속적 또는 주기적으로 사람 또는 사물의 영상을 촬영해 이를 유·무선 TCP/IP 네트워크를 통해 전송하는 기기로 개인정보보호법 제2조 제7호에 규정된 ‘고정형 영상정보처리기기’ 중에서 개인정보보호법 시행령 제3조 제1항 제2호에 규정된 ‘네트워크 카메라’도 해당된다.

실화상 카메라나 열화상 카메라, 머신비전 카메라 등 카메라 유형에 관계없이 TCP/IP 네트워크에 연결돼 IP를 할당받고 영상데이터를 전송한다면 보안적합성 검증 대상이 된다. 하지만 TCP/IP 방식이 아니라 SDI(SMPTE) 방식으로 연결해 영상데이터를 전송하는 경우라면 보안적합성 검증 대상에 해당되지 않는다.

영상정보 저장·관리 제품은 △통제 대상 IP 카메라의 관리 △통제 대상 카메라가 전송한 영상의 실시간 모니터링, 저장(녹화), 검색(재생) 등 영상정보 처리 △개별 통제 대상 카메라에 대한 제어(화각, 초점거리, 지향각도 조정 등) 기능 등을 보유한 기기를 뜻한다.

영상정보 저장·관리 제품으로는 △NVR(Network Video Recorder) △VMS(Video Management System) △Hybrid-DVR(Digial Video Recoder) 등이 있다. 이러한 영상정보처리기기 제품군이 추가된 이유는 다음과 같다.

첫째, 영상정보처리기기에 은닉된 백도어·알려진 취약점 등 사이버안보에 대한 위해 요인을 사전에 제거하고 취약점을 보완해 보안성이 확인된 제품의 공공 분야 도입을 촉진하기 위해서다.

둘째, 영상정보처리기기의 도입과 안전한 운용에 필요한 △제품에 구현된 보안 기능 △원천 개발업체 △취약점 제거 책임 소재 등의 중요 정보를 명확히 해 각급기관이 신뢰성있는 제품을 도입하도록 지원하기 위해서다.

셋째, 영상정보처리기기 제품군에 대한 보안기준과 검증 절차를 정비, 관련 업계의 어려움을 해소하고 공공분야에 보안성·신뢰성이 확인된 제품이 적시(適時)에 도입되도록 지원하기 위함이다.

보안기능 시험 대상, 개발 완료·출시된 실제 제품 및 탑재 모델 정해진 펌웨어
보안기능 시험 신청이 가능한 영상정보처리기기는 개발이 완료돼 출시된 실제 존재하는 제품(탑재 모델이 정해진 펌웨어)이며 대한민국에 수입·판매되기 위해 거처야 하는 법적 요건 및 제반절차를 준수한 제품이어야 한다.

▲보안기능 시험 대상[자료=NIS]


보안기능 시험 대상은 펌웨어 또는 구동 SW이며, IP 카메라 신청 업체는 보안기능 시험 신청 시 해당 펌웨어가 탑재되는 모든 모델을 함께 제출해야 한다. 그리고 제출된 펌웨어와 모든 탑재 모델은 보안기능 확인서 발급 과정에서 펌웨어에 대한 보안기능 시험 또는 동일성 확인 절차를 거치게 된다. 더불어 보안 기능 시험은 펌웨어를 대상으로 시행되기 때문에 그 외의 기능은 시험 대상이 아니다.

주의할 것은 신청 업체가 근시일 내에 개발 완료 예정임을 약속하거나 사전에 모델명(번호)을 부여했더라도, 제품이 출시되지 않았다면 보안기능 시험 대상으로 인정되지 않으며 신청하더라도 반려되기 때문에 주의해야 한다.

또한 보안기능 시험은 신청 업체가 ‘보안기능 시험 신청서(이하 신청서)’에 기재한 펌웨어(또는 SW)와 HW 모델을 기준으로 수행되며, 이미 출시한 모델이라도 신청서에 기재되지 않은 모델은 시험 대상이 아니다.

만약 보안기능 시험 신청 시 펌웨어에 구현된 보안기능 중 일부만 지원하는 HW 모델을 탑재 모델로 기재했다면, 기재된 모델이 지원하지 않은 펌웨어의 기능은 시험 범위에서 제외된다. 예를 들어 보안기능 시험이 신청된 펌웨어가 PTZ 기능을 포함해 여러 보안 기능이 구현된다 하더라도 보안기능 시험이 신청된 탑재 모델이 PTZ 기능이 없는 카메라라면 PTZ 기능은 시험 범위에서 제외된다는 뜻이다.

시험 신청 시 꼭 점검해야 할 유의사항
시험기관인 한국정보통신기술협회(이하 TTA)는 ‘국정원 보안기능 시험제도’ 신청 시 2가지 사항은 꼭 챙겨야 한다고 강조했다.

먼저 기존 TTA Verified 인증과 달리 보안기능 시험을 위해서는 ①제품설명서와 ②보안기능 구현명세서 ③보안기능 운용설명서 ④시험결과서 ⑤취약점 개선 내역서 등 5종의 필수 제출 문서가 있는데, 시험기관은 접수된 제출물의 작성 기준 만족 여부를 확인하고 시험에 착수하게 되며 제도 도입 초기이기 때문에 이에 대한 준비를 철저하게 해야한다는 것이다. 또한 보안기능 시험제도는 시험기관과 검증기관이 분리 운용되고 있기 때문에 시험기관의 시험 시간 외에 검증기관의 검토와 이에 따른 자료 보완 등 추가시간이 더 소요될 수 있다고 전했다.

두 번째로 우리나라는 UN 회원국으로 ‘대외무역법’ 등의 국내법을 통해 UN의 제재 조치를 이행하고 있으며, 국제 및 국가배후 해킹조직의 IT 보안제품에 대한 공급망 보안 위협의 증가로 국제사회의 제재 또한 확대·강화되고 있다. 이에 공공분야 납품을 목적으로 제품을 공동 개발(ODM)하거나 수입(OEM 포함)할 경우, 거래 기업의 제재 대상 여부를 확인해야 한다는 것이다.

▲우리나라·국제사회 제재 현황 관련 웹사이트[자료=NIS]


국제사회의 제재를 받는 국가(단체) 및 업체에 대해서는 보안기능 시험 신청이 반려되고 이미 진행중인 시험 및 발급된 보안기능 확인서는 확인된 날로부터 즉시 중지되거나 효력을 상실하기 때문에 신청업체는 개발(생산)에 참여한 업체가 국제사회로부터 다자간·일방적 제재를 받고 있는지 필수적으로 확인해야 한다.

국제사회의 제재 현황은 전략물자관리원 등 관계 기관 홈페이지와 UN·미국·EU 등 제재 부과기구·국가의 개별 홈페이지에서 확인할 수 있다. ‘취약점 개선내역서’는 신청 제품의 취약점 개선 이력과 내용을 기술한 문서로 개발 업체에 의한 취약점 사전 점검 및 제거를 권장하고 제품의 보안성을 제고해 시험과정에서 취약점 보완으로 인한 지체를 예방하기 위한 조치다. 신청 업체와 펌웨어 업체가 상이할 경우, 펌웨어의 탑재·활용과 관련된 계약에 기재된 취약점 보완 이행 주체가 ‘취약점 개선내역서’를 작성해야 한다.

▲계약 또는 서면을 통해 규정돼야 하는 최소 사항[자료=NIS]


신청 업체가 ‘공동·위탁 개발(ODM)하거나 제3자가 개발한 펌웨어’를 탑재한 제품을 신청할 경우, 취약점 보완 및 탑재, 판매 권리 등의 사항에 대해 각 당사자의 국적과 무관하게 상호 간의 계약을 통해 규정돼야 한다.

이는 운용 중 발생할 수 있는 해킹사고 및 취약점에 대한 신속한 대응을 위한 것으로 신청 업체는 보안기능 시험 신청 시 취약점 보완과 신청 업체의 권리에 대한 내용이 기재된 문서(계약서 또는 공문 등)의 사본을 시험기관에 제출해야 한다.

다만 계약서 내용 중 계약 당사자 모두 또는 일방에 의해 기밀로 취급되는 사항이 있다면 해당 내용을 비닉(庇匿) 처리해 제출할 수 있다.

펌웨어는 법적 권리를 보유한 업체와 IP 카메라에 탑재를 원하는 업체 간 계약을 통해 제반 사항이 규정될 경우 검증된 펌웨어의 타사 IP 카메라 탑재가 무제한 허용된다. 하지만 계약하지 않고 무단으로 탑재했다면 보안기능 시험 신청은 불가하다.

또한 신청업체가 이미 보안기능 확인서를 발급받은 펌웨어·IP 카메라의 보안기능·HW 구성요소에 대해 아무런 형상 변경(추가·변경 등)을 하지 않고 명칭만 변경해 보안기능 시험을 신청하면, 중복 발급 배제에 해당된다.

▲보안기능 시험 신청서(Ver 2.1) 작성 시 유의 사항[자료=NIS]


보안기능 추가시험 or 동일성 확인
시험기관은 보안기능 시험을 신청한 제품에 대해 탑재된 펌웨어 및 하드웨어 구성요소를 기준으로 △보안기능 추가시험과 △동일성 확인 중 어느 절차가 필요한지 판단한다.

보안기능 추가시험은 이미 검증을 받은 펌웨어에 대해 시험범위에서 제외됐거나 새롭게 구현된 특정 기능에 국한해 추가로 적용되는 시험절차로, 필요한 경우, 이미 제출된 제출문서(보안기능 구현명세서 등)의 보완을 요청할 수 있다.

동일성 확인은 새로운 IP 카메라 모델에 탑재하기 위해 보안기능 시험이 신청된 펌웨어가 ①형상변경이 없으며 ②함께 신청된 IP 카메라의 기능이 펌웨어의 최초 시험 범위를 초과하지 않는 경우, 보안기능 시험대신 적용되는 절차다. 동일성 확인 절차가 적용될 경우, 펌웨어에 대한 보안기능 시험은 생략된다.

국정원 보안기능 확인서 유효기간 5년, TTA 인증 신청 2025년 3월까지 가능
국가정보원의 보안기능 확인서의 유효기간은 5년이며 동일성 확인 제품 역시 해당 펌웨어의 유효기간까지만 효력이 유효하다. 또한 현재 TTA 보안인증은 2025년 4월부터 신규 인증이 중단되며 2028년 4월부터는 모든 TTA 보안인증의 효력이 소멸된다.

▲TTA 보안인증과 보안기능 확인서 전환 일정[자료=NIS]


인증 예상 소요시간 30일 이내, 중소기업에 인증비용 20% 할인 적용
‘국정원 보안기능 시험’ 시행과 더불어 업계가 가장 궁금하게 생각했던 것 중 하나는 바로 인증 획득에 걸리는 소요 시간과 비용이라고 할 수 있다.

‘국정원 보안기능 시험’ 인증은 사전에 신청 서류를 검토하고 미비한 부분을 조율하는 ‘컨설팅’과 ‘보안기능 본시험’ 그리고 펌웨어 테스트를 패스할 수 있는 ‘동일성 확인’으로 구분할 수 있다.

▲국정원 보안기능 시험제도 인증 획득을 위한 비용과 예상 소요시간[자료=TTA]


먼저 △컨설팅의 소요 시간은 1일이며 비용은 178만원이다. △보안기능 시험의 예상 소요시간은 30일이며 비용은 IP 카메라가 1,490만원, 저장·관리 제품은 1,630만원이다. △동일성 확인에 걸리는 예상 소요시간은 3일이며 비용은 311만원이다. 이 비용은 모두 20%의 중소기업 할인이 적용된 금액이며, 예상 소요시간은 보안기능 시험에 소요되는 시간으로 검증기관의 검토와 그에 따른 자료 보안 등에 의해 시간이 더 소요될 수 있다.

시험기관인 TTA는 4월 1일 시행 이후 정식으로 시험인증을 접수한 기업은 없지만, 전화나 이메일을 통한 문의가 이어지고 있다고 전했다. 이는 시험제도 시행 초기이기 때문에 ‘국가용 보안요구사항’ 검토에 시간이 소요되며, 2025년 3월까지 TTA Verified 인증을 신청할 수 있기 때문으로 보인다.

또한 업체의 준비 상황에 따라 다르겠지만 올해 1월 시행한 보안기능 시험 수요조사 결과에 따르면 올해에는 IP 카메라 3개, NVR 1개, VMS 1~2개 등 총 5~6개의 보안기능 확인서가 발급될 것으로 예상했다.

업계, ‘TTA 인증’과 ‘국정원 보안기능 시험인증’ 추이 지켜보고 결정
그렇다면 업계는 ‘국가정보원 보안기능 시험제도’에 대해 어떻게 생각하고 있을까? 이번 설문은 국내 140여개의 보안기업을 대상으로 했으며, 약 35.7%가 참여했다.

▲국정원 보안기능 시험 인증 획득 제품 및 펌웨어&구동SW 보유형태 그리고 수정 보유인력 설문결과[자료=보안뉴스]


먼저 ‘국정원 보안기능 시험 인증’을 획득해야 할 제품을 묻는 질문에 대해서는 답변한 모든 업체가 IP 카메라를 선택했으며, NVR·DVR은 42.9%, VMS는 30.6%가 선택했다.

이어 펌웨어 & 구동 SW의 사용(보유) 형태에 대해서는 67.3%가 자사의 펌웨어와 구동 SW를 사용하고 있다고 밝혔으며, 32.7%가 OEM 형태로 사용(보유)하고 있다고 답했다.

펌웨어 & 구동 SW를 자체적으로 수정할 수 있는 인력을 몇 명이나 보유하고 있는지 묻는 질문에는 2명이 20.4%였으며, 1명, 3명, 4명, 그리고 5명이라는 응답이 각각 8.2%였다. 기타는 26.5%였으며, 인력을 보유하고 있지 않다는 응답도 20.4%로 나타났다.

▲인증제도가 펌웨어&구동SW 보유사에 유리하게 작용할 것인가에 대한 물음과 인증 신청 비율에 대한 설문 결과[자료=보안뉴스]


펌웨어와 구동 SW에 대한 보안 기능과 동일성 확인을 시행하는 ‘국정원 보안기능 시험제도’가 펌웨어 및 구동 SW 보유사에 더 유리하게 작용할 것으로 생각하느냐는 질문에 대해서는 63.3%가 크게 차이가 없을 것 같다고 답했으며, 36.7%는 더 유리할 것으로 생각한다고 답했다.

귀사의 제품을 기준으로 펌웨어 & 구동 SW의 기본 인증과 동위성(파생 제품) 인증 신청 비율은 대략 어느 정도가 될 것으로 예상하느냐는 물음에 대해서는 28.6%가 기본인증 80% 동위성(파생 제품 인증) 20%를 선택했다. 이어 기본인증 50%와 동위성(파생 제품)인증 50%를 선택한 기업이 20.4%였으며 동위성(파생 제품) 인증 100%와 기본인증 90%와 동위성(파생 제품)인증 10%을 선택한 기업이 각각 18.4%였다. 또 기본인증 70%와 동위성(파생 제품)인증 30%를 선택한 기업이 8.2%, 기본인증 20%와 동위성(파생 제품)인증 80%를 선택한 기업이 6.1%였다.

▲신청 시기와 TTA 인증과 국정원 보안기능 시험인증 도전 계획에 대한 설문 결과[자료=보안뉴스]


4월 1일 시행된 ‘국정원 보안기능 시험제도’의 첫 신청을 언제쯤으로 계획하고 있느냐는 질문에 대해서는 71.4%가 2025년 1분기라고 답했으며, 2024년 3분기가 10.2% 그리고 2024년 4분기라는 응답이 18.4%였다.

마지막으로 내년 3월까지 TTA 인증 신청 및 획득이 가능한데, 해당 기간 ‘TTA 인증’과 ‘국정원 보안기능 시험인증’ 중 어떤 것을 우선으로 도전할 계획인가를 묻는 질문에는 63.3%가 추이를 지켜보겠다고 답했으며, 34.7%는 TTA 인증 획득을 우선으로 고려할 계획이라고 답했다. 또 국정원 보안기능 시험인증‘을 우선으로 고려할 계획이라는 응답은 2%였다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)