[스페셜리포트]보안적합성검증은
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
보안적합성 검증은 공공부문에 도입하는 보안기능이 탑재된 정보기술(IT)제품과 저장자료 완전 삭제 제품의 안전성을 확인하는 절차다.
공공기관은 도입하려는 정보보호시스템이 CC인증 획득·검증필 암호모듈 탑재 등 도입 요건의 만족 여부를 우선 확인한 후 도입 제품에 대해 보안적합성 검증을 신청해야 한다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
보안적합성 검증은 공공부문에 도입하는 보안기능이 탑재된 정보기술(IT)제품과 저장자료 완전 삭제 제품의 안전성을 확인하는 절차다.
중앙행정기관, 주요정보통신기반시설 관리기관, 광역시·도, 광역시·도 교육청 등이 대상이다. 이들 기관은 정보보호시스템·네트워크 장비 도입 때 국가정보원에 보안적합성 검증을 신청해야 한다.
국정원은 검증대상 제품의 국가용 보안요구사항 만족 여부 확인을 위해 국가보안기술연구소에 시험을 의뢰하고, 연구소는 최종 시험 결과를 국정원에 제출한다. 국정원은 시험 결과와 보안대책을 검토해 신청 기관에 보안적합성 검증 결과를 통보한다.
공공기관은 보안적합성 검증 결과에 따라 발견된 보안 취약점을 제거한 후, 정보보호시스템·네트워크 장비를 운용해야 한다.
공공기관은 도입하려는 정보보호시스템이 CC인증 획득·검증필 암호모듈 탑재 등 도입 요건의 만족 여부를 우선 확인한 후 도입 제품에 대해 보안적합성 검증을 신청해야 한다.
국내용 CC인증을 획득한 제품, 국가용 보안기술 요구사항(PP) 등 국가정보원장이 인정한 PP를 준수해 국제 CC인증을 획득한 제품, 보안기능 확인서 발급 제품, 기타 국가용 보안요구사항을 만족해 국가정보원장이 별도 공지한 제품은 보안적합성 검증을 생략할 수 있다. 앞으로는 신속확인제도 확인서 취득 제품 또한 보안적합성 검증 면제 대상에 포함된다.
앞서 다른 공공기관이 보안적합성 검증을 받은 제품이라 할지라도 다시 검증을 받아야 한다. 앞서 발견된 문제점개선 여부와 신규 취약점을 파악하고 검증 제품과 동일 형상 여부 등을 파악하기 위해서다.
최호기자 snoop@etnews.com
Copyright © 전자신문. 무단전재 및 재배포 금지.
- 환율 '급등'에 증시 '폭락'… 코인 시총은 '반토막'
- [창간 40주년 특별인터뷰] 시바타 히데토시 르네사스 CEO
- 삼성 SoC개발실, AI·컴퓨팅-통신칩 '이원화'
- 한화그룹, 대우조선해양 2조원에 인수
- "법인세율·상속세율 인하 등 세제개편안 확정해야"...제2차 중견기업 혁신성장 정책포럼
- 한화, 11월 대우조선해양 인수..유상증자로 2조원 조달
- 에이아이트론, 어린이 두뇌훈련 '퍼스널 케어 솔루션' 내년 초 CES에서 론칭
- 산업은행, 대우조선 '통으로' 한화에 매각한다
- PMI, '아이코스 일루마' 연말 출시 준비...재고 털었다
- "자식보다 낫다"...네이버 '케어콜', 대화 기억하고 연계 질문