KISA, 정보보호제품 보안성 평가기준 마련

한국정보보호진흥원(KISA)은 정보통신부가 지난해 개정, 고시한 공통평가기준(Common Criteria)에 따른 운영체제보안시스템 등 정보보호제품 3종에 대한 보안성 평가기준을 마련했다.

8일 KISA에 따르면 운영체제보안시스템의 경우 등급기반 접근통제 보호프로파일(세부평가기준)을 적용해 우선적인 평가를 시행하고, 역할기반 접근통제 보호프로파일은 관계기관 및 개발업체와 협의를 거쳐 개발할 예정이다.

또 리눅스 등 공개 운영체제 기반의 침입차단 및 가상사설망 통합제품에 대한 평가수요를 수용하고자 EAL2 등급의 보호프로파일을 새로 개발했다.
KISA는 지난 2일 한국전산원 회의실에서 국내 정보보호제품 개발업체 및 정부·공공기관 실무자 120여명이 참석한 가운데 KISA가 개발하고 인증기관인 국가정보원(국정원)이 승인한 운영체제보안시스템, 지문인식시스템, 침입차단시스템·가상사설망 통합제품 등 정보보호제품 3종에 대해 이같이 설명했으며 참석자들간 토론도 있었다.

국정원은 이날 보안성 검토 수행체계 및 수행절차 등 국가용 정보보호시스템 보안성 검토지침을 참석자에게 배포했으며 KISA가 평가하고 인증기관인 국정원이 인증한 정보보호제품은 국가용 정보보호시스템 보안성 검토 대상에서 제외된다고 강조했다.

국정원은 또 정보보호시스템 평가기준의 CC 일원화를 추진하는 한편 올해안으로 상호인정협정(CCRA) 가입역량을 확보해 국제 수준으로 국내 평가제도를 개선할 계획이라고 밝혔다.

정통부는 4월 19일부터 22일까지 4일간 KISA에서 평가준비업체를 대상으로 평가제출물 작성법 교육과 한국정보통신교육원에서 실시하는 정부·공공기관 정보보호 실무자 대상의 정보보호 교육을 통해 2005년부터 실시할 평가기준 CC 일원화 및 국내 평가제도에 관한 교육·홍보를 국정원과 함께 지속적으로 강화해 나갈 계획이다.


신혜권 기자 hkshin@fntimes.com