ⓒ게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>

내달부터 보안기능확인서 인증을 받은 제품의 시험 결과 요약보고서가 공개된다. 요약보고서를 공개하는 국제공통평가기준(CC) 인증과 달리 보안기능확인서는 보고서가 공개되지 않아 투명성 문제가 제기돼왔다.

12일 국가정보원 등에 따르면, 국정원은 내달부터 보안기능확인서를 취득한 제품의 시험 결과 요약보고서를 공개한다. 현재 관련 절차를 마련하기 위한 막바지 작업 중이다.

현행법상 국가·공공기관에 정보보호제품을 납품할 경우 대다수 제품이 CC인증 또는 보안기능확인서를 받아야 한다. 국정원이 지난 2022년 1월부터 침입차단시스템 등 정보보호제품에 대해 CC인증 없이 보안기능확인서만으로 국가·공공기관에 납품할 수 있도록 도입 요건을 다양화한 결과다. CC인증과 보안기능확인서가 사실상 동등한 대우를 받는 셈이다.

문제는 보안기능확인서는 CC인증과 달리 제품을 투명하게 공개하지 않고 있다는 점이다.

CC인증의 경우 IT보안인증사무국 홈페이지에 CC인증을 획득한 제품과 인증보고서를 함께 게시한다. 보고서엔 제품의 구성요소, 주요기능 등이 담긴다. 반면, 보안기능확인서는 국가사이버안보센터 홈페이지에 제품명과 제품군만 게시된 수준으로, 상세한 정보를 알 길이 없다.

이 때문에 정보보호산업계는 그간 보안기능확인서를 획득한 제품 정보를 공개하지 않아 혼란을 초래할 수 있다고 목소리를 높여왔다. 국가·공공기관 정보보호담당자가 제품 정보를 명확히 알 수 없고 이를 악용해 과대 포장한 정보보호제품을 가려낼 재간이 없기 때문이다.

한 정보보호기업 관계자는 “보안기능확인서 획득 제품은 '깜깜이'인 탓에 국가·공공기관은 제품을 검증하지 못하고 정보보호기업 말만 믿고 도입할 수밖에 없다”면서 “보안기능확인서 제품도 CC인증과 같이 요약보고서를 공개해야 제품 투명성을 담보할 수 있다”고 말했다.

국정원은 정보보호산업계 의견을 수용해 관련 제도를 개선할 방침이다.

국정원 관계자는 “업계의 요구를 고려해 보안기능시험 결과 요약보고서를 공개하는 절차를 마련 중”이라며 “시험기관과 업계 의견을 반영한 세부 계획안을 이달 내 마련하고 내달부터 본격 시행할 계획”이라고 밝혔다.

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]