[시큐리티팩트=김상규 기자] 국가정보원은 내년 1월 1일부터 국가·공공기관에 정보보호제품을 납품할 경우 'CC(공통평가기준)인증' 없이도 ‘보안기능 확인서'를 발급받아 납품이 가능하다고 밝혔다.
'CC인증'과 '보안기능 확인서' 모두 IT제품에 대한 안전성을 확인하는 제도다. 'CC인증'은 국제표준 부합 여부를, '보안기능 확인서'는 공공분야 도입 IT제품에 대해 우리나라 보안기준 충족 여부를 확인한다.
그 동안 정보보호제품 공공 분야 납품을 위해서는 제품 유형에 따라 CC인증이나 보안기능 확인서 중 한가지만 받아야 했다. 예를 들어 침입차단시스템의 경우 반드시 CC인증이 필요했다. 이렇다 보니 기업들의 CC평가 신청이 한꺼번에 몰리면서 인증서 발급 지연에 대한 지적이 제기됐다.
하지만 국정원의 이번 조치에 따라 앞으로 침입차단시스템·스팸메일 차단시스템 등 정보보호제품을 공공기관에 납품하려는 기업은 보안기능 확인서로 납품할 수 있게 됐다.
이번에 완화된 제품 유형은 △침입차단시스템 △웹 방화벽 △인터넷전화 보안 △침입방지시스템 △무선침입방지 △네트워크 접근통제 △무선랜 인증 △스팸메일 차단시스템 △스마트카드 △통합보안 관리 △스마트폰 보안관리제품 △운영체제(서버) 접근통제제품 △통합로그관리 △패치관리시스템 △DB 접근통제 제품 △디지털 복합기 등 16개로 CC인증이나 보안기능 확인서 중 하나를 선택할 수 있다. △소스코드보안약점분석도구 △DDoS 대응장비 △안티바이러스제품 등 3개 유형은 CC인증·성능평가·보안기능 확인서 3가지 중에서 하나를 선택하면 된다. △망간 자료전송제품을 공공 분야에 납품하기 위해서는 보안기능 확인서가 필요하다.
보안기능 확인서는 한국기계전기전자시험연구원, 한국정보통신기술협회, 한국정보보안기술원, 한국시스템보증, 한국아이티평가원 등 5개 시험기관에서 발급받을 수 있다.
국정원은 “이번 조치로 다각화·지능화되는 사이버 위협에 대한 각급기관의 적시 대응 지원과 업계의 부담이 경감될 것으로 기대된다”고 말했다.