보안적합성 검증 사전검토·사후관리 대폭 강화

실시간
뉴스

법제도/정책

디지털데일리 발행일 2007-12-11 10:33:28

이유지

URL복사

내년부터 보안적합성 검증필 제품에 보안기능이 추가되거나 운영체제가 바뀌면 새 제품으로 간주돼 보안적합성 검증을 새로 받아야 하고, 적합성 검증 사후관리도 변경된 제품을 도입하는 기관이 직접 신청해야 한다.

또 보안적합성 검증 대상이 디가우저(소자) 장비와 디지털복합기에 이어 ERP(전사적자원관리)·KMS(지식관리시스템)·CRM(고객관계관리) 등 기업용 애플리케이션 제품으로 크게 확대된다.

국가정보원은 10일 삼성동 코엑스에서 ‘보안적합성 검증정책 설명회’를 개최하고, 정보보호 제품 보안적합성 검증 사후관리와 보안 기능이 탑재된 IT제품의 보안적합성 검증을 강화한다고 밝혔다.

이에 따라 앞으로 보안적합성 검증 수요가 더욱 크게 늘어날 것으로 보인다.

변경되는 적합성 검증제도로 지금까지는 보안적합성 검증필을 받은 보안 제품 기능을 변경하거나 새로운 기능이 대폭 추가돼도 적합성 검증 효력은 유지된 채로 사후관리를 신청하면 됐지만, 앞으로는 새로운 제품으로 취급돼 보안적합성 검증을 받아야 한다.

내년부터는 사후관리 신청도 업체에서 직접 할 수 없고 형상이 변경된 제품을 도입하는 기관이 신청하는 체계로 바뀐다.

또 적합성 검증 사전검토도 크게 강화돼, 업체의 검증 신청 시 제출문서가 부실하면 부적합 판정이 내려지고, 제출물을 보완하거나 제품 기능을 보강한 후 다시 적합성 검증을 의뢰할 수 있게 된다.

국정원 IT보안인증사무국 보안적합성 검증 담당관은 “보안적합성 검증 사후관리 제도를 악용하거나 보안 제품 부실로 타 검증에 지장을 주는 사례가 많아 사후관리와 사전검토 제도를 크게 강화하기로 했다”고 설명했다.

한편, 공공기관에서 도입하는 정보보호 제품의 안전성과 신뢰성을 보증해온 보안적합성 검증이 대상이 내년에는 ERP`KMS`CRM 등 기업용 애플리케이션 제품으로도 크게 확대된다.

따라서 앞으로는 공공기관에 들어가는 IT 제품 중 보안 기능이 탑재돼 있는 제품은 모두 보안적합성 대상이 될 것으로 보인다.

이들 제품에는 싱글사인온(SSO), DRM(디지털저작권관리) 등 보안 기능이 함께 제공되고 있기 때문에, 이를 대상으로 보안적합성 검증을 실시하게 되는 것이다.

국정원은 내년 중 보안기능을 구현한 이들 IT제품에 보안적합성 검증을 실시를 권고하는 보안가이드라인을 발표할 예정이다.

이미 보안적합성 검증은 정보보호 제품뿐만 아니라 디가우저(소자) 장비와 디지털복합기의 저장자료 완전삭제 보안 기능을 대상으로 실시되고 있는 상태다.

<이유지 기자> yjlee@ddaily.co.kr

주소 : (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46) | 전화 : 02-334-7781
사업자 등록번호 : 101-86-13419 | 등록번호 : 서울아00039
대표자 : 양경진 | 편집국장 : 채수웅 | 청소년보호책임자 : 오주엽