국가정보원의 보안적합성 검증 조직이 판교로 이전한다. 국가보안기술연구소 산하 IT보안 인증 사무국도 같은 곳으로 이동한다. 보안 인증 정책과 실무 조직을 한 곳에서 운영하는 것으로, 보안 인증 대상 기관·기업의 접근성과 편의성이 개선될 것으로 기대된다. 보안적합성 검증 제도 개편으로 기관·기업과의 소통 강화가 주요 과제로 떠오른 데 따른 조처다.
국정원은 다음 달 국가사이버안보센터(NCSC) 내 보안적합성 검증 조직을 경기 성남시 판교로 이전한다. NCSC는 △국제 및 국가배후 해킹조직 등 사이버안보에 관한 정보 수집·작성·배포 △보안적합성검증 △암호모듈검증 등이 핵심 업무다. 보안적합성 검증은 국가·공공기관이 도입하는 정보보호시스템·네트워크 장비 등 보안 기능이 탑재된 IT 제품 등의 안전성을 검증하는 제도다.
보안적합성 검증 조직의 이전에 맞춰 IT보안인증 사무국도 이전한다. 사무국은 정보보호제품의 평가·인증 수행 규정, 평가·인증업무 관련 가이드·절차를 수립하고 시행한다. 공통평가기준(CC)인증, 보안기능확인서 등 보안적합성 검증 도입 요건에 해당하는 인증을 전담한다.
정책 및 인증 실무 조직이 사실상 통합 운영되는 효과가 기대된다. 이는 보안적합성검증제도 개편과 맞물린 행보다. 국정원은 이보다 앞서 보안적합성검증 대상 기관을 중요도에 따라 '가, 나, 다' 세 그룹으로 분류했다. 나·다급 기관은 기존 인증제도로 검증이 되지 않는 제품을 신속확인제를 통해 도입할 수 있고, 국제 공통평가기준(CC) 인증을 받은 제품도 보안 검증을 생략할 수 있도록 했다.
보안기업 관계자는 “보안적합성 검증 대상기관을 차등화하고 신속 확인제를 도입하는 등 제도 변화가 큰 상황”이라며 “대상 기관과 기업이 혼란스러울 수 있는 상황에서 국정원이 현장의 목소리에 귀를 기울이기 위해 변화를 선택한 것으로 보인다”고 말했다. 이어 “이전까지 국정원에 기업 의견을 전달하기 어려웠지만, 판교에서 IT보안인증사무국과 국정원 보안적합성검증 조직이 통합운영되면 정책 제안 등 소통이 한결 용이해 질 것”이라고 기대했다.
최호기자 snoop@etnews.com
