보안적합성 검증제도 개요
페이지 정보
작성자 게시판관리자 작성일23-10-28 18:27 조회284회 댓글0건관련링크
본문
보안적합성 검증제도 개요
보안적합성 검증은 국가정보통신망의 보안수준 제고를 위해 「국가정보원법」 제4조와 「전자정부법」 제56조에 의거, 국가ㆍ공공기관이 도입하는 정보보호시스템ㆍ네트워크 장비 및 양자암호통신장비 등 보안기능이 탑재된 IT제품 및 저장자료 완전삭제제품의 안전성을 검증하는 제도 입니다.
중앙행정기관, 주요정보통신기반시설 관리기관, 광역시ㆍ도, 광역시ㆍ도 교육청은 정보보호시스템ㆍ네트워크 장비 및 양자암호통신장비 도입후 국가정보원에 보안적합성 검증을 신청하여야 하며 검증과정에서 발견된 취약점을 제거한 후에 운용 하여야 합니다.
※ 보안적합성 검증제도에 대해 문의하실 사항은 validation@ncsc.go.kr로 질의하시기 바랍니다.
보안적합성 검증 절차
국가ㆍ공공기관은 ①검증 대상 제품 도입 즉시, 국가정보원에 보안적합성 검증을 신청하여야 합니다. ②국가정보원은 신청을 접수한 후 검증대상 제품의 국가용 보안요구사항 만족 여부 확인을 위해 국가보안기술연구소에 시험을 의뢰하고 ③국가보안기술연구소는 시험결과를 국가정보원에 제출 합니다. ④국가정보원은 시험결과 및 보안대책을 검토하여 신청 기관에 보안적합성 검증 결과를 통보합니다.
⑤국가ㆍ공공기관은 보안적합성 검증결과에 따라 발견된 보안 취약점을 제거한 후, 정보보호시스템ㆍ네트워크 장비를 운용하여야 합니다.
제품 유형별 도입 기준
사전 인증이 필요한 제품 유형
국가ㆍ공공기관이 도입하는 정보보호제품 중에서 침입차단시스템, 가상사설망 등 주요 제품유형은 공인시험기관이 발급한 '보안기능 확인서' 또는 우리나라(IT보안인증사무국)을 비롯, CCRA회원국이 발행한 CC인증을 받아야 하며, △네트워크 장비 △호스트ㆍ네트워크 자료유출 방지제품 △S/W기반 보안USB 제품 △가상화 관리제품 △망간 자료전송 제품(2022.1.1부터)은 보안기능 확인서를 받아야 합니다.
양자암호통신장비를 도입하는 경우 보안기능확인서를 발급받은 제품을 도입하거나 도입 시 보안적합성검증을 신청해야 합니다.
아울러 가상사설망(VPN), 소프트웨어 기반 보안USB, 호스트 자료유출방지 등 3종 제품은 검증필 암호모듈을 탑재해야 합니다. 아래 표에 포함되지 않은 제품 유형일지라도 보안기능 확인서를 발급받아 검증필 제품목록에 등재될 경우, 보안적합성 검증절차를 생략하고 운용할 수 있습니다.
제품군 | 제품 유형 | 도입 요건 | 도입 방법 | 보안적합성 검증 생략 |
|---|---|---|---|---|
침입차단 제품군 | 침입차단시스템(FW) | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | 검증필제품목록 등재제품도입시 |
웹 방화벽 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
DDoS 대응장비 | CC인증·성능평가·보안기능 확인서 중 어느 하나 | CC인증·성능평가·보안기능 확인서 발급 제품중에서 도입 | ||
인터넷전화 보안제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
침입차단제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
침입방지 제품군 | 침입방지시스템 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | 검증필제품목록 등재제품도입시 |
무선침입방지제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
침입방지제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
구간보안 제품군 | 가상사설망 | CC인증 또는 보안기능 확인서 + 검증필 암호모듈 | CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입 | 검증필제품목록 등재제품도입시 |
네트워크 접근통제제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
망간 자료전송제품 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 | ||
무선랜 인증제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
구간암호화제품 | 검증필 암호모듈 탑재 | 도입 후, 적합성 검증 신청 | ||
구간보안제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
전송자료보안 제품군 | 스팸메일 차단시스템 | CC인증 또는 보안기능 확인서 | CC인증 제품 또는 보안기능 확인서 발급 제품을 도입 | 검증필제품목록 등재제품도입시 |
소프트웨어 기반 보안USB제품 | 보안기능 확인서+검증필 암호모듈 탑재 | 보안기능 확인서 | ||
호스트 자료유출방지제품 | 보안기능 확인서+검증필 암호모듈 탑재 | 보안기능 확인서 | ||
네트워크 자료유출 방지제품 | 보안기능 확인서 | 보안기능 확인서 | ||
메일암호화제품 | 검증필 암호모듈 탑재 | 도입 후, 적합성 검증 신청 | ||
전송자료보안제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
보안관리 제품군 | 스마트카드 | CC인증 또는 보안기능 확인서 | CC인증(EAL4 이상) 또는 보안기능 확인서 발급 제품을 도입 | 국제 CC 인증 인정 |
통합보안 관리제품 | CC인증 또는 보안기능 확인서 | CC인증 제품 또는 보안기능 확인서 발급 제품을 도입 | 검증필 제품목록 등재제품 도입시 | |
소스코드 보안약점 분석도구 | CC인증·성능평가·보안기능 확인서 중 어느 하나 | CC인증·성능평가·보안기능 확인서 발급 제품중에서 도입 | ||
패치관리시스템 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
DB 접근통제 제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
시스템 접근관리제품 | 없음 | 도입 후, 적합성 검증 신청 | ||
패스워드관리제품 | 없음 | 도입 후, 적합성 검증 신청 | ||
통합인증제품 | CC인증 또는 보안기능 확인서 + 검증필 암호모듈 | CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입 | ||
보안관리제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
가상화 제품군 | 가상화 관리제품 | 보안기능 확인서 | 보안기능 확인서 발급제품을 도입 | 검증필 제품목록 등재제품 도입시 |
가상화제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
엔드포인트 보안제품군 | 디지털 복합기 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | 국제 CC 인증 인정 |
안티바이러스제품(Windows) | CC인증·성능평가·보안기능확인서 중 어느 하나 | CC인증·성능평가·보안기능 확인서 제품중에서 도입 | 검증필제품목록 등재제품도입시 | |
안티바이러스제품(Linux) | 성능평가 | 성능평가서 발급 제품을 도입 | ||
스마트폰 보안관리제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
운영체제(서버) | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
EDR제품 | 없음 | 도입 후, 적합성 검증 신청 | ||
APT대응제품 | 없음 | 도입 후, 적합성 검증 신청 | ||
문서암호화제품 | CC인증 또는 보안기능 확인서 + 검증필 암호모듈 | CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입 | ||
DB 암호화제품 | CC인증 또는 보안기능 확인서 + 검증필 암호모듈 | CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입 | ||
엔드포인트보안제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
저장자료 완전삭제제품군 | 저장자료 완전삭제 제품 | 없음 | 도입 후, 적합성 검증 신청 | 검증필제품목록 등재제품도입시 |
네트워크 장비 | L3 스위치 | 보안기능 확인서 | 보안기능 확인서 | 검증필제품목록 등재제품도입시 |
L4 스위치 | 보안기능 확인서 | 보안기능 확인서 | ||
L7 스위치 | 보안기능 확인서 | 보안기능 확인서 | ||
SDN컨트롤러 | 보안기능 확인서 | 보안기능 확인서 | ||
SDN스위치 | 보안기능 확인서 | 보안기능 확인서 | ||
L2 보안시스템 | 보안기능 확인서 | 보안기능 확인서 | ||
네트워크 장비 기타 | 보안기능 확인서 | 보안기능 확인서 | ||
양자암호통신 | 양자키분배장비 | 없음 | 보안기능 확인서 발급제품 도입 또는 | 검증필제품목록 등재제품도입시 |
양자키관리장비 | 없음 | 보안기능 확인서 발급제품 도입 또는 | ||
양자통신암호화장비 | 없음 | 보안기능 확인서 발급제품 도입 또는 |
※ 해외에서 CC인증을 받은 '디지털복합기'는 안전성 검증필 제품목록에 없더라도 별도의 검증이 필요없지만, 나머지 제품유형은 CC인증을 받더라도 '안전성 검증필 제품목록'에 없는 경우, 보안적합성 검증절차를 거쳐야 합니다.
도입시 유의사항
국가ㆍ공공기관은 CC인증ㆍ보안기능 확인서 등 사전인증을 받은 제품을 도입할 경우 아래 유의사항을 확인 하시기 바랍니다.
- ①도입하려는 제품의 사전인증 필수 유형 해당 여부와 발급받은 인증서(보안기능 확인서)가 도입시점에서 유효한지 확인해야 합니다. 인증서(보안기능 확인서)의 효력이 만료된 제품은 인증제품으로 인정되지 않습니다.
- ②평가(시험)기관과 사전 협의중이거나 평가(시험)가 진행중일지라도 인증제품으로 인정되지 않습니다. 평가(시험) 협의ㆍ진행이 인증을 담보하지 않습니다.
- ③국제CC인증 제품의 경우 도입 기관이 사용을 원하는 보안기능이 인증범위에 포함되지 않을 수 있기 때문에 인증범위에 대한 확인이 필요합니다.
- ④도입기관이 사용하고자 하는 보안기능이 인증범위(TOE)에 포함되었는지 확인이 필요합니다.
- ⑤CC 인증 및 보안기능 확인서內 다양한 하드웨어가 탑재, 배포되는 경우 인증보고서에 해당 하드웨어 모델명칭이 기재되었는지 확인이 필요합니다.
- ⑥CC인증은 등급 제한(스마트카드 제외)이 없습니다.
댓글목록
등록된 댓글이 없습니다.