공공사업 프로젝트는 SI 회사들이 많은 경험을 쌓을 기회인데요. 공공사업은 공공의 정보를 다루는 사업의 특성상 국가정보원의 국가 정보보안 기본 지침을 준수해야 합니다. 관련 제도가 계속 변화함에 따라 그 트렌드를 잠시 놓치게 되면 사업 기회를 놓칠 수도 있는데요. 다음은 최근에 공개된 대규모 사업의 제안 요청서 중 보안 요건 관련한 일부 자료입니다.
여기서 보시면 국정원 검증필 암호에 대한 내용과 CC 인증 필수 제품 유형 군에 대한 내용이 기술되어 있습니다. 위 요구 사항을 검토하기 위해 인증 기준 변화에 대해 살펴보고, 최근 2020년 기준의 보안 적합성 검증에 관해 확인해 공공기관 프로젝트 수행 시 도움이 되고자 이 글을 작성해 봅니다.
보안 등급 제도 변천
보안 활동을 하는 사람은 들어 보았을 듯한 K 인증에 대해 먼저 이야기해 보겠습니다. 과거에 ‘K1, K2, …, K7’이라는 인증 등급이 존재했습니다. 1990년대 초반 침입 차단 시스템, 침입 탐지 시스템 등이 도입되기 시작했을 무렵, 제품 선정 및 도입 기준으로 ‘K 등급’이 선정되었습니다.
이런 인증 제도는 보안 솔루션 제조사가 각 국가에 맞는 인증을 별도로 획득해야 하는 부담이 되었습니다. 이에 인증을 글로벌 단위로 통합하자는 논의가 시작되었습니다. 이를 기반으로 CC 인증이라는 공통 인증 기준이 글로벌로 통합되게 되었습니다.
이후 2000년대 초반 CC 인증과 K 등급 제도가 혼용되었으며, 국정원의 보안성 검토 시에는 K 등급이 계속 필요했습니다. CC 인증은 정보보호 제품에 구현된 보안 기능의 안전성과 신뢰성을 보증해 사용자들이 안심하고 제품을 사용할 수 있도록 지원하는 제도입니다. 우리나라는 2006년 국가 간 인증을 상호 인정해 주는 CCRA(Common Criteria Recognition Arrangement) 협약에 가입했습니다.
우리나라에서 인증받은 CC를 외국에서도 인정해 준다는 뜻입니다. 당시 외국으로 사업을 확대하려던 정보보호 기업에는 좋은 상황이었습니다. 그러나 그 반대로 외국 기업의 CC 인증을 우리나라에서도 동일하게 인정해야 하는 역효과도 있었습니다.
이후 2007년 말 K 등급 기준 평가가 폐지되고 CC로 단일화가 되었습니다. 그런데도 국내용 CC가 아닌 국제용 CC를 받은 제품은 공공기관 제품 도입 시 보안 적합성 검증을 받도록 요구가 되었습니다. CC 인증 관련 변경 사항은 IT 보안 인증 사무국 홈페이지를 참고하시기 바랍니다.
보안 적합성 검증이란?
보안 적합성 검증이란 국가 통신망의 보안 수준을 제고하고 외부의 사이버 위협에 대응하기 위해 만들어진 제도입니다. 전자정부법(2007년 개정 조항)에 기반해 국가 및 공공기관에서 도입하는 IT 제품의 보안 기능에 대해 안정성을 검증합니다. 보안 기능이 포함된 IT 제품을 도입할 경우 국가, 공공기관은 보안 적합성을 검증한 후, 이 과정에서 발견된 취약점을 해결한 다음 운영해야 합니다.
초창기에는 국가사이버안전센터가 필요성을 인정하는 정보보호 시스템의 경우 사전에 CC 인증을 필수로 받아야 했습니다. 26개에 제품에 대해 필수 제품군으로 지정을 했습니다.
2018년에는 보안 기능 확인서 발급 제도를 한시적으로 운영하는 내용이 공지되었습니다. 정보보호 제품의 국가•공공기관 도입을 위한 객관적인 제품 검증 서비스 제공을 2020년 12월 31일까지 시행하며 연장 여부는 별도로 결정할 예정으로 안내되었습니다. 보안 기능 확인서는 신청기관(업체) 보관용과 도입 기관 제출용으로 구분되며 발급 대상 제품으로는 1) 네트워크 장비(L3 이상 스위치, 라우터)와 2) CC 인증 필수 제품 유형 중 국제용 CC 인증을 보유한 제품으로 되어 있습니다.
CC 인증을 반드시 받아야 하는 인증 요건 필수 제품 유형으로 분류된 정보보호 제품 24종 가운데 스팸 메일 차단 시스템, 패치 관리 시스템, 망간 자료 전송 제품은 앞으로 국가•공공기관 납품 시 CC와 GS 인증을 선택할 수 있도록 변경되었습니다. 디도스(DDoS) 대응 장비, 안티바이러스(백신), 소스 코드 보안 약점 분석 도구는 한국인터넷진흥원(KISA)이 시행하는 국가 보안 요구 사항을 준용한 성능 평가만 거치면 CC 인증 없이도 국가•공공기관 도입이 가능하게 되었습니다.
변화되는 보안 적합성 검증 제도는 3단계에 걸쳐 시행되는 것으로 알려졌습니다. 2020년부터는 보안 USB, 네트워크 장비, 가상화 관리가 대상이며, 2021년부터는 호스트, 네트워크 자료 유출 방지 제품이 그리고 2022년에는 망간 자료 전송 제품이 적용됩니다.
(출처: 디지털데일리, http://m.ddaily.co.kr/m/m_article/?no=186368)
2020년 기준으로는 23종으로 변화가 되었으며 최근의 목록은 아래 이미지를 참고하시기 바랍니다.
네트워크 장비에 대한 보안 적합성 검증 신청
보안 담당자는 보안 장비 외에 L3 이상 스위치, 라우터 등 네트워크 장비에 대해서 보안 적합성 신청에 대해 알아야 할 필요가 있습니다. 보안 적합성 관련 신청서는 공개되어 있는데 보안 적합성 검증 신청서, 네트워크 장비 보안 기능 요구 사항 점검표, 네트워크 장비 도입 확인서 등의 문서가 작성되어야 합니다. 관련 신청서는 내용을 작성해 공공기관을 통해 진행하면 됩니다. 다음은 관련 신청서 양식입니다.
프로젝트 이행 시 주의 사항
CC 인증은 CC 최초 평가(신청 및 접수 ▶ 계약 ▶ 평가 수행 ▶ 인증 심의 및 인증서 교부)와 인증서 효력 연장(신청 ▶ 인증서 효력 연장 수행)으로 구분할 수 있습니다.
보통 SI 프로젝트를 진행할 경우 이미 인증된 제품을 검토하므로 CC 최초 인증 관련 절차에 대해 경험할 일이 많지 않습니다. 그러나 인증서 효력 연장의 경우 프로젝트 기간에 따라 프로젝트 진행 중 수행되는 경우가 많습니다.
제조사에서 평가 기관을 통해 지속해서 유지 관리하게 됩니다만 인증서 효력 연장 절차가 길어지게 되는 상황이 발생할 수 있습니다. 예를 들어 기존에 인증받은 제품에 큰 변화가 있거나 관련 패치 등의 적용 수가 많으면 효력 연장 절차가 최초 인증의 절차 수준으로 길어지게 됩니다.
앞서 도입 시 보여 드렸던 바와 같이 최근의 공공 프로젝트에서는 도입되는 보안 솔루션에 대해 CC 인증에 대해 제안 요구 사항으로 명시되는 경우가 많습니다. 보안 담당자는 프로젝트 이행 시 보안 솔루션의 기능뿐 아니라 지속해서 변화되는 제도에 관심을 가지고 확인해야 하며 세부적으로 인증서 유효 기간에 관해서도 관심을 가져야 하겠습니다.
글 l LG CNS 보안아키텍처팀
