[디지털데일리 이종현기자] 국가정보원은 2일부터 공공 분야에서 민간 정보기술(IT) 보안제품을 도입할 때 보안검증 기준이 되는 ‘국가용 보안요구사항’을 전면 개정한다고 밝혔다.
국가용 보안요구사항은 국가·공공기관이 도입하는 정보보호시스템·네트워크 장비 등 보안 기능이 탑재된 IT 제품 및 저장자료 완전삭제제품의 안전성을 검증하는 문서다. 방화벽, 백신 등 제품이 공공기관에 납품되기 전에 거쳐야 하는 보안검증 기준으로 활용돼 왔다.
2019년 7월부터 국가용 보안요구사항 개정을 추진해온 국정원은 업계 및 유관기관으로부터 총 529건의 기술제안을 받았다. 이중 83%인 437건을 반영해 기존 22개 제품에 한정됐던 보안검증 기준을 공통요구사항 2개, 제품별 요구사항 27개, 총 29개로 확대했다.
기존 제품에 새로운 기능을 접목할 경우 명확한 보안 기준이 없었으나 이번 개정을 통해 2개 이상의 제품 유형을 결합할 때 각각의 제품별 보안기준을 통합 적용할 수 있도록 기능 융합이 가능토록 했다는 것이 국정원 측 설명이다.
국가사이버안보센터 관계자는 “제품별 보안검증 기준이 새로 마련되면서 각급 기관의 도입 여부가 불투명해 제품 개발을 주저했던 업체들은 다양한 신종 제품을 양산할 수 있게 됐다”며 “새로운 IT 보안제품 개발이 촉진돼 국가·공공기관 보안이 한층 강화될 것으로 기대한다”고 말했다.