법제도/정책

천편일률적으로 적용되던 보안적합성 검증, 11월부터 ‘등급제’ 시행

이종현
[디지털데일리 이종현기자] 국가정보원(이하 국정원)이 그동안 천편일률적으로 적용하던 국가·공공분야 정보기술(IT) 보안제품 보안적합성 검증을 중요도에 따라 가·나·다 3개 그룹으로 분류해 요건을 차등 적용하는 개편안을 오는 11월 1일부터 시행한다고 밝혔다.

보안적합성 검증은 국가·공공기관이 도입하는 방화벽·네트워크 장비 등에 대한 안전성을 검증하는 제도다. 검증된 제품을 도입해 보안을 높이겠다는 취지와 달리 신기술 도입을 막는다는 비판을 줄곧 받아온 바 있는데, 현장의 목소리를 받아들여 개선한 것으로 풀이된다.

개편안에 따르면 ‘가 그룹’은 중앙행정기관, 주요기반시설관리기관, 국방부 소속·산하기관, 경찰청 등 국민 안전과 밀접한 국가 중요시설을 관리하는 주요기관으로 구성됐다. 가 그룹에는 기존 검증 정책이 그대로 적용되는데, 전체의 5%가량이다.

‘나 그룹’은 중앙행정기관 소속·산하기관과 기타 공공기관, 각급 대학교 등이다. 제품 도입시 보안기능 확인서나 국내·외 CC인증, 성능평가결과확인서, 신속확인서 등 4개 사전인증요건 중 하나만 획득하면 된다. 전체의 38%다.

57%인 ‘다 그룹’은 중앙행정기관의 산하 위원회, 기조자치단체 및 산하기관, 초·중·고 각급학교 등이 대상이다. 제품 도입시 자체 판단으로 사전 인증요건을 자율 지정할 수 있다.

국정원 관계자는 “그동안 IT 보안업계 내부에서는 국가·공공분야 기관의 중요도가 다름에도 국방부·방위사업청 등 중앙부처부터 일선 초등학교까지 똑같음 보안검증 정책이 적용돼 비효율적이라는 지적과 함께 제도개선의 필요성이 제기됐다”며 “이번 개편으로 업계와 기관들이 그간 겪어온 불편함과 부담감이 경감되길 기대한다”고 말했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널