실시간 뉴스

보안기능 시험 '고도화'…공급망 보안요소 강화 전망

국정원 "KISIA 등과 TF 구성해 추진계획 마련 방침"

[아이뉴스24 김혜경 기자] '솔라윈즈(SolarWinds)’ 사태 이후 소프트웨어(SW) 공급망 공격이 디지털 인프라를 흔드는 위협으로 부상하고 있다. 공급망 공격은 보안 수준이 높은 곳을 직접 공격하는 대신 상대적으로 보안이 취약한 업체를 대상으로 우회 침투하는 방식이다.

한국에서도 'SW 자재명세서(SBOM)' 도입 등 제도 보완이 필요하다는 목소리가 나오는 가운데 보안기능 시험제도가 고도화될 전망이다.

10일 국가정보원은 서울 양재 aT센터에서 'IT보안제품 보안적합성 검증정책 설명회'를 개최했다. [사진=김혜경 기자]
10일 국가정보원은 서울 양재 aT센터에서 'IT보안제품 보안적합성 검증정책 설명회'를 개최했다. [사진=김혜경 기자]

10일 국가정보원은 서울 양재 aT센터에서 'IT 보안제품 보안적합성 검증정책 설명회'를 열고 제도 운영 방향에 대해 공개했다.

국정원 관계자는 "SBOM, 업체 보안 수준 등 공급망 보안요소를 반영해 보안기능 시험제도 고도화를 추진할 예정"이라며 "한국정보보호산업협회(KISIA)를 비롯한 산업계와 함께 태스크포스(TF)를 구성해 추진 방향과 세부적인 계획을 마련할 방침"이라고 말했다.

보안적합성 검증제도란 국정원법 제4조와 전자정부법 제56조에 따라 국가‧공공기관이 도입하는 정보보호 제품과 네트워크 장비 등 IT 보안제품의 안전성을 검증하는 제도다. 국가‧공공기관에 보안제품을 납품하기 위해서는 '국제공통기준(Common Criteria‧CC) 인증'과 '보안기능 확인서' 등을 제출해야 한다.

기존에는 CC 인증만 가능했지만 인증서 발급이 지체되면서 제도 개선이 필요하다는 지적이 제기된 바 있다. 이에 국정원은 지난해 보안기능 확인서 발급 절차 간소화에 이어 올해부터는 일부 제품을 대상으로 CC 인증을 확인서로 대체하는 등 규제를 완화한 바 있다.

국정원에 따르면 2016년 7월 이후 현재까지 6개 시험기관에서 발급된 보안기능 확인서는 총 259건으로 집계됐다. 연도별로 살펴보면 ▲2017년 20건 ▲2018년 10건 ▲2019년 29건 ▲2020년 53건 ▲지난해 101건으로 조사됐고, 올해 현재까지는 46건으로 나타났다.

2016년 7월 이후 현재까지 발급된 보안기능 확인서 현황. [사진=김혜경 기자]
2016년 7월 이후 현재까지 발급된 보안기능 확인서 현황. [사진=김혜경 기자]

259건 중 외산은 168건, 국산은 91건이다. 이중 정보보호 제품은 35건으로 국산과 외산 제품은 각각 29건(83%)‧6건(17%)으로 집계됐으며, 네트워크 장비의 경우 외산 비율이 월등하게 높았다. 외산 제품은 162건으로 전체의 72%를 차지했다.

또 정보보호 제품의 경우 국산과 외산 모두 자체개발로 나타났다. 다만 네트워크 장비는 국산 자체개발 44건‧주문자개발생산(ODM) 18건으로 조사됐고, 외산은 자체개발이 163건으로 97%를 차지한 것으로 집계됐다.

국정원은 이날 설명회에서 시험제도 개선점도 제시했다. 우선 시험 소요기간 산출기준을 통일해 '권장 시험기간'을 적용할 방침이다. 국정원 관계자는 "국내용 CC 인증의 경우 제품유형별 평가 소요기간이 고정된다"면서 "보안기능 시험제도의 경우 신청 제품별 보안기능이 획일적이지 않으므로 제품별 시험기간도 탄력적으로 산출할 필요가 있다"고 설명했다.

기존 정보보호 제품과 네트워크 장비 외에도 스마트카드, 양자암호 보안제품 등 전문 시험기관도 추가 지정할 예정이다. 또 발급 제품유형별 표기 제한을 완화해 신종 제품의 경우 개발업체가 유형을 직접 기재하도록 할 방침이다. 국정원 관계자는 "미래에는 어떤 제품 유형이 등장할지 혹은 도태될지 불분명하다"며 "이같은 시장 상황에 맞춰 대응해야 한다는 취지"라고 말했다.

아울러 사용자 인증체계를 개편하고, 랜섬웨어 대응‧아이폰용 MDM‧생체인식‧클라우드 기반 정보보호 제품을 개발하는 등 '국가용 보안요구사항 개발 계획'에 대해서도 공개했다. 국가용 보안요구사항은 공공분야에 도입되는 IT 보안제품이 기본적으로 구현해야 할 보안기능을 서술한 문서다.

국정원 관계자는 "현재는 사용자 ID·비밀번호 입력이 기본으로 채택되고 생체인식 등이 추가 수단으로 인정되고 있다"며 "향후 '신속한 온라인 인증(FIDO)'과 생체인식이 기본이 되도록 사용자 인증체계를 전환할 것"이라고 말했다.

이어 "업계 의견 수렴을 통해 일정 기간 유예기간을 둔 후 사용자 계정 탈취 공격이 빈번한 제품부터 적용할 예정"이라고 덧붙였다.

/김혜경 기자(hkmind9000@inews24.com)
2024 iFORUM
김혜경 기자의 다른 기사 보기 blank
alert

댓글 쓰기 제목 보안기능 시험 '고도화'…공급망 보안요소 강화 전망

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스