보안기능확인서, 국정원 권한 줄어든다..3분기, 뭐가 달라지나

국보연 시험결과 검토 업무 생략..시험기관서 직접 발급 가능
3분기부터 역량평가 거쳐 시행.."발급기간 대폭 단축 기대"
클라우드 보안서비스는 KISA 인증만 받아도 'OK'
"보안업계 의견 많이 반영..조달청 등록기준도 변경 필요해"

지난해 1월 1일부터 적용된 보안기능 확인서를 활용한 `선(先)검증` 절차가 단계적으로 시행됐다.(자료=국가정보원 홈페이지)

[이데일리 이후섭 기자] 국가정보원이 국가 인증 제도 간소화에 나섰다. 올해 3분기 중 일종의 `패스트트랙` 제도로 도입된 보안기능 확인서를 시험기관에서 바로 발급할 수 있도록 권한을 줄 예정이며, 클라우드 보안서비스(SECaaS)의 경우 한국인터넷진흥원(KISA)의 인증만 받아도 공공기관에서 도입 가능하도록 2024년 말까지 한시적으로 제도를 변경한다.

국보연 시험결과 검토 업무 생략…시험기관서 직접 발급 가능

13일 국정원에 따르면 보안기능 확인서의 발급 소요기간을 단축하기 위해 국가기술보안연구소의 시험결과 검토 업무를 생략하고, 시험기관에서 확인서를 바로 발급할 수 있도록 하는 방안을 마련해 3분기부터 시행할 예정이다.

국가·공공기관은 도입하려는 보안 제품에 대해 CC인증 획득·검증필 암호모듈 탑재 등 도입 요건의 만족여부를 우선 확인한 후에 제품을 도입해 시스템을 구축한 뒤 보안적합성 검증을 받아야 한다. 그간 보안 업계에서는 보안적합서 검증 절차에 시간이 많이 걸리고, 신기술들은 인증을 받기 어렵다는 어려움을 호소해 왔다.

인증 정책을 담당하는 국정원은 소프트웨어 기반 보안USB, 가상화 관리, 네트워크 장비, 네트워크 자료유출 방지, 호스트 자료유출 방지, 망간 자료전송 등 일부 제품군에 한해 보안기능 확인서만으로 대체할 수 있는 `선(先)검증` 절차를 2022년까지 단계적으로 시행하기로 했다. 지난해 1월 1일부터 소프트웨어 기반 보안USB, 가상화 관리, 네트워크 장비에 대해 제도를 적용했다.

클라우드 보안서비스 도입기준 변경 공지(자료=국가정보원 홈페이지)

3분기부터 역량평가 거쳐 시행…“발급기간 대폭 단축 기대”

하지만 확인서 발급을 위한 보안 요구사항과 절차 등에 대한 자세한 안내가 없어 현장에서는 혼란만 가중되고 있고, 확인서 발급에 기업들이 몰리면서 오히려 기간이 더 소요되고 있다는 불만이 쏟아졌다. 한 네트워크 장비업체의 경우 확인서 발급까지 9개월이나 걸리면서 공공기관 수주를 제대로 못해 실적에 큰 타격을 입었다고 하소연하기도 했다.

보안기능 확인서는 한국정보통신기술협회(TTA)·한국정보보안기술원(KOIST)·한국아이티평가원(KSEL)·한국기계전기전자시험연구원(KTC) 등 8개 민간 기관에서 시험을 진행한다. 시험결과를 국보연에 보낸 후 피드백을 받아 최종 확인서를 발급하게 되는데, 국정원은 이 단계를 생략할 수 있게 함으로써 소요기간을 대폭 줄이겠다는 방침이다.

물론 시험기관에 무조건적인 재량권을 부여하는 것은 아니고, 정보보호제품은 `국가용 보안요구사항` 만족여부를 평가한 실적이 있는 시험기관을 대상으로만 자율발급을 허용할 계획이다. 네트워크 장비의 경우 올해 3분기 중 시험기관 대상 역량평가를 실시해 검증된 시험기관 순으로 순차 허용할 방침이다. 다만 이러한 절차 간소화 방안도 `안보위해 우려` 제품에 대해서는 적용되지 않는다.

국정원 관계자는 “보안기능 확인서 제도 시행 이후 시험기관의 역량이 축적된 점을 감안해 발급 재량권을 폭넓게 부여하는 방안을 마련했다”며 “보안업계의 발급 소요기간 단축 요청과 간소화로 발생할 수 있는 공급망 보안 측면의 부작용 등을 종합적으로 고려해 3분기 중 시행을 위해 노력하고 있다”고 말했다.

이와 함께 국정원은 클라우드 보안서비스 도입 기준도 완화했다. 지난 8일 국정원 홈페이지에 올라온 보안적합성 검증 공지사항에 따르면 웹방화벽서비스, 스팸메일차단서비스 등 사전인증(CC인증 또는 보안기능 확인서)이 필요한 정보보호제품을 포함하고 있는 클라우드 보안서비스도 KISA 클라우드 보안인증만 받으면 CC인증이나 보안기능 확인서가 없어도 각급기관에서 도입 가능하다. 이번 제도 변경은 당장 오는 14일부터 적용되며, 2024년 12월 31일까지만 일단 시행하기로 했다.

“보안업계 의견 많이 반영…조달청 등록기준도 변경 필요해”

보안업계에서는 패스트트랙 제도의 의미를 좀 더 살릴 수 있을 것이라는 점에서 이번 제도 변경을 반기고 있다. 이동범 한국정보보호산업협회(KISIA) 회장은 “보안제품은 한번 인증받으면 끝나는 것이 아니고 계속 관리가 필요하기에 빠른 피드백과 수시로 관리하는 것이 필요하다”며 “정부 기관이 인증 제도의 모든 과정에 참여하게 되면 수동적이고 느려질 수 밖에 없다. 외국처럼 민간에 많이 위임하고 자율성을 부여하되 규정을 위반하는 업체는 관리·감독하는 체계로 가야할 것”이라고 말했다.

KISIA는 지난해 정부와 시험기관, 보안업계가 모여 근본적으로 국가 인증제도에 대해 큰 틀에서 한번 점검하고 제도를 다시 설계하기 위한 태스크포스팀(TFT)을 만들자고 제안했으나, 공식적으로 TFT가 출범되지는 않았다. 그럼에도 이전과는 달리 업계의 얘기를 많이 들어주는 분위기가 형성되면서 업계 의견을 반영해 이번 제도 변경까지 이어진 것으로 보고 있다.

이 회장은 “공공시장에 들어가려면 조달청에 등록해야 하는데 조달청에서는 CC인증 제도만 유효한 측면이 있다”며 “조달청 뿐만 아니라 ISMS 인증 등 이전에 만들어졌던 제도들은 CC인증에만 맞춰져 있어 막상 보안기능 확인서는 제대로 쓸 수가 없는데, 이런 부분을 일괄적으로 조사해서 한번에 해결할 필요가 있다고 정부 기관에 건의하고 있다”고 말했다.

이후섭 (dlgntjq@edaily.co.kr)