http://www.boannews.com/media/view.asp?page=&gpage=&idx=16259&search=&find=&kind=1

국정원, “효율적 방법 제시 및 보안업체 부담 경감이 목적”

하지만 보안USB 시장 등 여전히 풀어야 할 과제 남아 있어

국가·공공기관이 도입하는 정보보호제품에 대한 안전성 확인을 위해 시행됐던 보안적합성 검증제도가 오는 6월 1일부로 폐지가 되고, 국가용 암호 제품 목록이 새롭게 등재된다.

 

국가정보원 IT보안인증사무국이 지난 21일 ‘국가·공공기관 정보보호제품 도입기준 및 절차’를 통해 이와 같은 내용을 사무국 홈페이지에 발표했다.


우선 국정원이 이번에 발표한 기본 원칙은 ▲2009년 6월 1일 이후, 국가·공공기관은 CC인증 획득 제품을 도입하는 것을 원칙으로 함 ▲‘검증필 제품목록’은 2009년 6월 1일부로 폐지 ▲국가·공공기관, CC인증제품 목록 및 국가용 암호제품 목록에 등재된 제품 중에서 선정해 도입 ▲국가·공공기관 도입제품, 인증제품 목록 또는 국가용 암호제품 목록에 기재된 제품명칭·버전 등 완전 일치해야 한다는 등의 내용이다.


그리고 이외에 국정원은 예외사항으로 ▲국가용 암호제품 지정제도 신설 ▲네트워크·컴퓨팅기반 제품의 ‘검증필 암호모듈’ 탑재 의무를 권고사항으로 완화 ▲저장자료 완전삭제 제품 등 보안기능 단순 제품 CC인증 요구없이 국정원장이 안전성 확인 ▲검증필 제품목록 등재된 제품 중, 올해 안에 CC평가계약 체결한 제품에 한해 올해까지 국가·공공기관 도입 허용 등을 담고 있다.


이에 따라 지금까지 말도 많고 탈도 많았던 국가·공공기관 정보보호제품 도입기준이 마련된 셈이다. 하지만 여전히 풀어야 할 과제는 남겨져 있다.


‘검증필 암호모듈’의 경우, 올해 1월 1일부터 탑재를 의무화한다고 발표를 했음에도 이번 발표로 기준은 명확해졌지만 그에 따른 업계의 혼란은 가중될 전망이란 것이 업계 관계자들의 중론이다.


이에 검증필 암호모듈을 판매하고 있는 한 업계 관계자는 “이번 국정원 발표로 현재 진행되고 있는 검증필 암호모듈 판매에 제동이 걸린 것이 사실”이라며 “이는 기존에 국정원이 명확한 기준을 제시하지 않은 결과”라고 지적했다.


또한 그는 “그렇다 하더라도 이번 국정원의 발표에는 긍정적 측면이 적잖다. 기존에 두루뭉술했던 정책 혼선에서 벗어나 명확한 기준을 제시했다는 점”이라며 “하지만 그와 함께 이번 발표에도 기존과 같은 믿음이 가지 않는 것은 사실”이라고 말했다.


이에 따라 국정원이 향후 검증필 암호모듈을 판매하고 있는 업체들에 어떠한 고육지책을 마련할 것인지에 귀추가 주목된다.


아울러 보안USB 시장에서는 기존 ‘검증필 암호모듈’ 탑재에 대한 업체 개개별 해석에서 국정원은 명확히 이를 탑재할 것을 명확화했다. 다만 지난 15일 CC인증을 획득한 닉스테크의 경우와 5월 중 CC인증 계약을 목표로 동분서주하고 있는 보안USB 업체들의 현재 진행에도 제동이 걸렸다.


즉 “2009년 내 CC평가계약을 체결한 제품에 한해 계약일로부터 2009년 12월 31일까지 국가·공공기관 도입을 허용한다”는 국정원 측의 발표내용 때문인데, 이 역시 기존 보안USB에 대해 6월 1일부터 CC인증 획득을 못한 제품은 국가·공공기관에 납품을 할 수 없다는 것에 유예를 준 셈이다. 이는 얼핏 CC인증 획득을 올해까지만 하면 된다는 것처럼 오해할 소지가 있다. 다시 말해 굳이 CC평가계약을 굳이 5월 안에 받거나 급히 서두를 필요가 없는 것처럼 인식할 수 있다.


하지만 이와 관련 한 업계 관계자는 “올해 안에만 CC평가계약을 체결하면 된 것처럼 인식할 수 있지만 사실 그렇지가 않다”며 “CC평가계약 자체가 CC인증을 받은 것은 아니기 때문이다. 조달목록에서 남겨지게 되는 제품은 기존 보안적합성 목록에 있는 제품들이며, 이들 중 CC평가계약을 체결한 제품이 남겨지게 되는 것이다”고 말했다.


즉 이와 관련해 블루젠 등과 같은 보안USB 신생업체는 CC인증을 득해야만 조달목록에 오를 수 있다는 것. 즉 CC평가계약을 체결했다하더라도 CC인증을 획득하기 위해서는 2~3개월 여가 소요된다고 했을 때 기존 보안적합성 검증을 가지고 있는 업체들만이 국가·공공시장에서 판매가 가능한 것이라는 것이 업계 관계자들의 말이다.


한편 이와 관련 국정원 관계자는 이번 발표와 관련해 “이번 발표는 국가기관에 들어가는 정보보호제품에 대한 효율적 방법을 제시하고, 정보보호업체들의 부담을 경감시켜 주기 위해 마련했다”고 밝혀 지금까지 지속적인 정책을 폈음에도 불구하고 업체들을 염두, 유예기간을 두었던 것에 이번이 마지막 유예로 내년부터는 이를 진행함에 있어 강한 의지로 펼칠 것임을 천명했다.

[김정완 기자(boan3@boannews.com)]

이전 1 다음