(방송기술저널=백선하) 정보보호제품 국제공통평가기준(CC) 인증 업무가 미래창조과학부로 이관된다.
미래창조과학부는 국가정보원이 CC 인증 업무 이관을 논의해와 검토 중이라고 12일 밝혔다.
홍진배 미래부 과장은 “구체적으로 어떻게 기존 CC 인증 체계를 미래부로 이관할지를 논의하는 과정”이라며 “당장 큰 변화는 없지만 점진적으로 미래부가 CC 인증 업무를 관장하게 될 것”이라고 설명했다.
CC(Common Criteria) 인증은 세계 각국에서 만들어지고 있는 보안 장비에 대한 평가 기준을 국제적으로 표준화한 국제공동평가 기준이다. 국가정보화기본법 제28조 및 동법 시행령 제35조에 근거한 것으로 보안 장비를 구매하는 고객들은 이 평가 기준을 통해 장비에 대한 안전성과 신뢰성을 평가할 수 있다.
CC 인증 업무가 국정원에서 미래부로 이관된다면 CC 인증 정책에 대대적인 변화가 불가피할 것으로 보인다. 국정원이 국가 안보에 초점을 맞춘 정부 부처라면 미래부는 산업 육성에 힘을 쏟는 부처이기 때문이다.
미래부 관계자는 “그동안 국정원은 안보라는 흐름에 맞춰 CC 정책을 결정했다”면서 “평가 인증 수행 규정과 평가 기준 방법론, 보호 프로파일 등을 수립하고 시행했으며 이외에 인증기관 지정과 철회, 인증기관 보안 관리 및 실태 점검 등을 중점적으로 해왔는데 업무가 이관되면 당장 이러한 정책적 측면에서 변화가 나타날 것”이라고 전망했다.
IT 보안인증사무국에도 변화가 예상된다. 현재 국정원 소속인 IT 보안인증사무국이 미래부 산하로 편입되거나 관련 업무가 아예 한국인터넷진흥원(KISA) 등으로 넘어갈 가능성도 배제할 수 없다.
국정원 산하 기관인 IT 보안인증사무국은 1998년 2월부터 정보보호시스템 평가 인증 제도를 시행했으며, 2002년부터는 CC에 따라 인증 업무를 수행하고 있다. 평가 기관 감독 및 평가 자격 관리뿐 아니라 보안 관리 실태 점검에서 인증 보고서 작성과 발급 업무 전반을 맡고 있다.
또한 우리나라는 2006년 6월 국제상호인정협정(CCRA)에 인증서 발행국(CAP)으로 가입해 국제 수준에 부합한 평가 인증 제도를 운영하고 있는데 이와 관련된 활동과 인증 제품에 대한 사후 관리 등에 대한 것도 IT 보안인증사무국에서 맡고 있다.
현재 국가공공기관에 도입되는 정보 보호 시스템 중 EAL2 등급 CC 인증이 필수적인 제품은 방화벽에서 디도스 대응 장비, 가상 사설망(VPN), DB 접근 통제, 무선랜 인증, 안티 바이러스, 소스 코드 보안 약점 분석 도구, 스마트폰 보안 관리 등 28개에 달한다.
