기관 중요도 따라 ‘가, 나, 다’ 나눠 검증요건 다르게 적용

[사진: 국가정보원]
[사진: 국가정보원]

[디지털투데이 강진규 기자] 국가정보원이 그동안 일률적인 기준을 적용하던 국가·공공분야 IT보안제품 보안적합성검증 대상기관(2022년 3월 현재 3만여개)을 중요도에 따라 ‘가, 나, 다’ 세 그룹으로 분류해 검증요건을 차등 적용하는 검증체계 개편안을 마련해 11월 1일부터 시행한다.

보안적합성 검증은 국가·공공기관이 도입하는 방화벽·네트워크 장비 등 IT보안제품의 안전성을 검증하는 제도로 국정원이 국정원법, 전자정부법 등에 의거해 업무를 담당하고 있다.

‘가’ 그룹(전체의 5%)은 ▲중앙행정기관 ▲주요기반시설관리기관 ▲국방부 소속 및 산하기관 ▲방사청 및 경찰청 ▲주요 공공기관 등 국민 안전과 밀접하고 국가 중요시설을 관리하는 주요기관으로 기존 검증정책이 그대로 적용된다.

‘나’ 그룹(전체의 38%)은 ▲중앙행정기관 소속 산하기관 ▲기타 공공기관 및 각급 대학교 등으로 검증 절차가 다소 간소화된다. 제품 도입 시 ▲보안기능확인서 ▲국내외 CC인증서 ▲성능평가결과확인서 ▲신속확인서 등 4개의 사전인증요건 중 하나만 획득해도 보안적합성 검증을 생략할 수 있다. 

‘다’ 그룹(전체의 57%)은 ▲중앙행정기관 산하 위원회 ▲기초자치단체 및 산하기관 ▲초중고 등 각급 학교 등으로 제품 도입 시 자체 판단으로 사전인증요건을 자율 지정할 수 있고 보안적합성 검증도 생략할 수 있다.

그동안 IT보안업계 내부에서는 국가·공공분야 기관의 중요도가 다름에도 국방부, 방위사업청 등 중앙부처부터 일선 초등학교까지 똑같은 보안검증 정책이 적용돼 비효율적이라는 지적과 함께 제도개선의 필요성이 제기돼 왔다.

국정원 관계자는 “이번 개편안은 초연결, 데이터 중심의 보안환경 변화를 적극 수용하고 규제 해소를 목적으로 한 만큼 업체, 기관들의 그간 불편함과 부담감이 경감되길 기대한다”고 말했다.

관련기사

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지