공공분야에서 민간 IT 보안제품을 도입할 때 적용하는 검증 기준이 전면 공개된다.

1일 IT 보안업계에 따르면 국가정보원 국가사이버안보센터는 이런 내용으로 개정된 '국가용 보안요구사항'을 2일부터 시행한다.

'국가용 보안요구사항'은 국가·공공기관이 도입하는 방화벽·바이러스 백신 등 IT보안제품이 기본적으로 구현해야 하는 여러 보안 기능을 규정한 문서다.

이전까지는 보안적합성 검증 및 국내용 공통평가기준(CC) 인증을 신청한 업체만 볼 수 있었지만, 개정안 시행일부터는 홈페이지에 공개된다.

2019년 7월부터 개정 작업이 시작된 국가용 보안요구사항은 업계 및 관계기관으로부터 총 529건의 기술 제안을 받아 이 중 83%인 437건을 반영했다.

기존 22개 제품에 한정됐던 보안 검증 기준을 29개(공통요구사항 2개·제품별 요구사항 27개)로 늘렸다.

2개 이상의 제품 유형을 결합할 때도 각각의 제품별 보안기준을 통합 적용할 수 있도록 해 활발한 기능 융합이 가능하게 했다.

국가사이버안보센터 관계자는 "제품별 보안 검증 기준이 새로 마련되면서 각급 기관의 도입 여부가 불투명해 제품 개발을 주저했던 업체들이 다양한 신종 제품을 양산할 수 있게 됐다"며 "새로운 IT보안제품 개발이 촉진돼 국가·공공기관 보안이 한층 강화될 것으로 기대한다"고 말했다.

과거 보안기준에 따라 개발된 제품에는 변경·재인증에 필요한 유예기간 2년이 적용된다.

/연합뉴스