정보통신부는 20일 K4등급에 편중된 정보보호시스템 평가제도를 개선하기 위해 공공기관에서 K2와 K3 등 다양한 등급을 활용토록 유도하고 리눅스 OS(운영체제) 기반의 정보보호제품 평가와 국제공통 평가기준에 의한평가제도 도입을 추진키로 했다. 현행 정보보호시스템 평가제도는 정보보호시스템 개발자가 제품의 특성 및 전략에 따라 K1에서 K7까지 다양한 등급으로 평가를 받을 수 있고 제품사용자는 보안요구 수준에 따라 다양한 등급의 정보보호 제품을 구매할 수 있다. 그러나 높은 보안이 필요한 일부 국가기관의 제품 권장수준이 K4 등급이고 이에 따라 모든 제품이 K4 등급에 맞춰 개발.평가됨으로써 평가기관에서의 적체가 심화되고 제품평가의 쏠림현상이 초래되는 등 많은 문제점을 야기시키고 있다. 정통부는 따라서 정보보호 제품 평가적체를 해소할 수 있도록 업체를 대상으로 K2와 K3 등급의 제품개발과 평가신청을 적극 권장하고 국가정보원과 공동으로 국가기관에서도 보안요구 수준에 따라 K2 및 K3 등급의 제품을 사용토록 권장키로 했다. 또한 리눅스OS 기반의 정보보호 제품도 정보보호 시스템 평가제도에 수용, 단기적으로 리눅스OS 기반의 정보보호 제품에 K2등급 수준의 평가 및 인증을 부여하고장기적으로 시큐어 리눅스 개발프로젝트 등을 통해 K4 등급 수준의 평가 및 인증을부여하는 방안도 추진키로 했다. 한편 정통부는 정보보호 제품 국제 공통평가기준(Common Criteria)을 도입할 수있도록 이달말께 워크숍을 개최하고 평가기술력 확보 및 모의평가를 거쳐 2002년부터 이를 본격 도입할 계획이다. (서울=연합뉴스) 류현성기자 rhew@yna.co.kr