정보보호시스템 평가 기준 국제기준으로 개정

8월부터 침입차단시스템과 같은 정보보호시스템 평가 인증지침이 국제기준(국제공통평가기준, CC : Common Criteria) 수준으로 개정된다. 또 공통평가기준이 제정·고시돼 국제공통평가기준으로 평가될 전망이다.

국제공통평가기준은 선진국들이 평가결과를 상호인정하기 위해 개발한 정보보호시스템 평가의 국제기준으로서 국내 평가기준으로 도입하면 별도의 제품별 평가기준 제정 없이도 다양한 정보보호제품을 평가할 수 있게 된다.

또 향후 평가결과를 상호인정하는 협정에 가입하게 되면 국내에서 평가받은 정보보호제품을 수출할 때 외국에서 별도의 평가를 받아야 하는 문제를 해결할 수 있다.

정보통신부가 30일 발표한 개정 정보보호시스템 평가·인증지침에서는▲국제공통평가기준 기반의 평가를 위한 근거조항 신설 ▲ 보호프로파일을 평가·인증하는 절차와 국가기관용 정보보호제품에 사용되는 보호프로파일에 대한 조항 신설 ▲인증받은 제품이 경미하게 변경되는 경우 별도의 평가없이 인증서의 효력을 유지시켜 업체의 평가부담을 완화시킬 수 있도록 절차 개정 등의 조항이 반영되어 있다.

이와함께 신규로 제정되는 공통평가기준은 ▲한글판과 영문판을 모두 평가기준으로 고시하되, ▲도입초기인 점을 고려하여 2002년에는 침입차단시스템, 침입탐지시스템, 가상사설망에 한해 적용한다.

공통평가기준에 의한 평가는 8월부터 시행될 예정이며, 공통평가기준을 도입하더라도 기존 제품별 평가기준의 효력도 그대로 유지되므로, 기존에 평가를 시행중인 침입차단시스템과 침입탐지시스템은 제품별 평가기준과 공통평가기준 중에서 선택적으로 평가를 받을 수 있고 새로 평가를 개시하는 가상사설망 제품은 공통평가기준으로만 평가를 받을 수 있게 된다.

정부는 이번 평가·인증지침 개정과 공통평가기준 제정으로 가상사설망 제품시장이 조기에 활성화되고 국내 정보보호제품 수준이 한단계 도약할 수 있는 기반이 마련될 것으로 기대하고 있으며, 앞으로도 평가기술과 평가능력을 확충하여 평가대상제품군을 지속적으로 확대해 나가고 상호인정협정 가입도 추진해 나갈 방침이다.