국가정보원의 보안적합성 검증이 기존 정보보호제품, 네트워크장비에서 스마트카드, 양자암호보안제품 등으로 확대된다.

국가정보원은 10일 서울 양재동 at센터에서 IT보안제품 보안적합성 검증정책설명회를 개최했다.

보안적합성 검증은 국가정보통신망의 보안수준 제고를 위해 국가·공공기관이 도입하는 정보보호시스템, 네트워크 장비 등 보안 기능이 탑재된 IT제품 및 저장자료 완전삭제제품의 안전성을 검증하는 제도다.

중앙행정기관, 주요 정보통신기반시설 관리기관, 광역시도, 광역시도 교육청은 정보보호시스템, 네트워크 장비 도입 후 국가정보원에 보안적합성 검증을 신청해 검증을 받아야 한다.

국정원은 최근 IT환경 변화에 맞춰 보안적합성 검증제도를 개선할 방침이다. 국정원 관계자는 “현재는 정보보호제품, 네트워크장비 검증이 가능한데 앞으로 전문시험기관 지정을 확대한다. 스마트카드, 양자암호 보안제품 전문시험기관을 추가 지정하고 확대할 방침”이라고 말했다.

국정원은 양자암호 보안제품과 관련해 올해 시범 사업으로 한국기계전기전자시험연구원(KTC)과 한국정보통신기술협회(TTA)를 전문시험기관으로 지정하고 내년부터 시험기관 역량평가를 통해 역량이 확인된 시험기관을 추가할 방침이다. 이는 정부, 공공기관에서 앞으로 양자암호 보안제품을 활용하는 것에 대비한 조치로 해석된다. 

국정원은 또 기존 검증 시험기관별로 다른 소요 시간을 일정 부분 통일하는 방안을 추진한다. 국정원 관계자는 “시험기관마다 다른 시험 소요기간 산출기준을 동일한 권장 시험기간으로 적용하겠다”고 설명했다.

정보보호제품 공통보안요구사항(서버 및 앤드포인트)의 경우는 35~40일, 제품단위 보안요구사항은 5~10일이 기준이다. 또 네트워크장비 중 스위치 및 라우터 보안요구사항은 10~15일, 소프트웨어정의네트워크(SDN) 스위치, 컨트롤러 보안요구사항은 15~20일이 권장 시험기간이다.

국정원은 제출문서의 사전검토가 완료돼 더 이상 수정할 내용이 없고 제품에 보완사항이 없을 경우 권장 시험기간이 적용될 수 있다고 전했다. 다만 보안요구사항이 복합 적용되거나 구현명세서 기반으로 시험할 경우 시험기관과 소요기간을 별도 산정하게 된다.

한편 국정원은 2016년 7월 보안기능시험제도 도입 후 전자통신연구원(ETRI), TTA 등 6개 시험기관에서 보안기능 확인서가 259건이 발급됐다고 밝혔다.

보안인증 확인서는 2017년 20건, 2018년 10건, 2019년 29건, 2020년 53건, 2021년 101건, 올해 46건이 발급됐다. 이중 국산 제품이 91건이었으며 외산 제품이 168건이다.