3만곳 보안 규제 완화한다…국정원 “규제 부담 줄일 것”

[이데일리 최훈길 기자] 공공 분야 IT 보안 제품에 적용되는 규제가 완화된다. 보안 중요도가 다른데도 일률적으로 엄격하게 적용했던 규제를 기관에 따라 풀어주기로 한 것이다.

국가정보원은 일률적인 기준을 적용하던 정부·공공분야 IT 보안제품 보안적합성검증 대상기관(올해 3월 기준 3만여개)을 중요도에 따라 ‘가·나·다’ 세 그룹으로 분류하고, 검증 요건을 차등 적용하는 검증체계 개편안을 내달 1일부터 시행한다고 밝혔다.

국가정보원 전경. (사진=연합뉴스)

보안적합성 검증은 국가·공공기관이 도입하는 방화벽·네트워크 장비 등 IT 보안제품의 안전성을 검증하는 제도다. 국정원이 국정원법·전자정부법 등에 따라 관련 업무를 담당하고 있다.

개편안에 따르면 가 그룹(전체의 5%)은 △중앙행정기관 △주요 기반시설 관리기관 △국방부 소속·산하기관 △방사청·경찰청 △주요 공공기관 등이다. 국민 안전과 밀접하고 국가 중요시설을 관리하는 주요 기관으로 기존 검증 정책이 그대로 적용된다.

나 그룹(전체의 38%)은 △중앙행정기관 소속·산하기관 △기타 공공기관 및 각급 대학교 등이다. 나 그룹에 대해서는 검증 절차가 간소화 된다. 제품 도입 시 △보안기능확인서 △보안 국제표준에 부합하는지 여부를 보는 국내외 CC(Common Criteria) 인증서 △성능평가결과확인서 △신속확인서 등 4개의 사전인증요건 중 하나만 획득해도 보안적합성 검증을 생략할 수 있다.

다 그룹(전체의 57%)은 △중앙행정기관 산하 위원회 △기초자치단체·산하기관 △초·중·고교가 대상이다. 다 그룹의 경우 제품 도입 시 자체 판단으로 사전인증 요건을 자율적으로 지정할 수 있고 보안적합성 검증도 생략할 수 있다.

그동안 정부·공공분야 기관의 중요도가 다른데도 국방부, 방위사업청 등 중앙부처부터 일선 초등학교까지 똑같은 보안검증 정책이 적용돼 왔다. 이 때문에 IT 보안업계에서는 비효율적이라는 지적과 함께 제도개선의 필요성이 제기돼 왔다. 이에 따라 국정원은 보안 중요도에 따라 규제를 풀되, 해킹 등의 우려가 없도록 철저히 사이버공격 가능성에 대비하기로 했다.

국정원 관계자는 “이번 개편안은 초연결·데이터 중심의 보안환경 변화를 적극 수용하고 규제 해소를 목적으로 한다”며 “업체·기관들의 그간 불편함과 부담감이 경감되길 기대한다”고 말했다. 개편안의 자세한 내용은 국정원과 국가사이버안보센터 홈페이지의 ‘보안적합성 검증’ 코너 공지사항에 게재된 ‘신(新) 보안적합성 검증체계’ 안내서를 통해 확인할 수 있다.