이 누리집은 대한민국 공식 전자정부 누리집입니다.

주 요 업 무

  • 주요업무
  • 사이버안보

보안적합성 검증

개요

보안적합성 검증제도 개요

  • 보안적합성 검증은 국가정보통신망의 보안수준 제고를 위해 「국가정보원법」 제4조와 「전자정부법」 제56조에 의거, 국가ㆍ공공기관이 도입하는 정보보호시스템ㆍ네트워크 장비 및 양자암호통신장비 등 보안기능이 탑재된 IT제품 및 저장자료 완전삭제제품의 안전성을 검증하는 제도 입니다.

  • 중앙행정기관, 주요정보통신기반시설 관리기관, 광역시ㆍ도, 광역시ㆍ도 교육청은 정보보호시스템ㆍ네트워크 장비 및 양자암호통신장비 도입후 국가정보원에 보안적합성 검증을 신청하여야 하며 검증과정에서 발견된 취약점을 제거한 후에 운용 하여야 합니다.

    ※ 보안적합성 검증제도 관련 문의는 상단의 '자주 묻는 질문'을 숙지하시고 국가정보원 ‘111 콜센터’ 를 통해 하시기 바랍니다.

보안적합성 검증 절차

  • 국가ㆍ공공기관은 ①검증 대상 제품 도입 즉시, 국가정보원에 보안적합성 검증을 신청하여야 합니다. ②국가 정보원은 신청을 접수한 후 검증대상 제품의 국가용 보안요구사항 만족 여부 확인을 위해 국가보안기술연구소에 시험을 의뢰하고 ③국가보안기술연구소는 시험결과를 국가정보원에 제출합니다. ④국가정보원은 시험결과 및 보안대책을 검토하여 신청 기관에 보안적합성 검증 결과를 통보합니다. ⑤국가ㆍ공공기관은 보안적합성 검증결과에 따라 발견된 보안 취약점을 제거한 후, 정보보호시스템ㆍ네트워크 장비를 운용하여야 합니다.

    • 보안적합성 검증 절차

    ※ 보안적합성 시험 관련 문의사항은 국가보안기술연구소([email protected])를 통해 하시기 바랍니다.

제품 유형별 도입 기준

사전 인증이 필요한 제품 유형

  • 국가ㆍ공공기관이 도입하는 정보보호시스템과 네트워크 장비는 유형에 따라 CC인증 또는 보안기능 확인서 등 사전 인증을 획득해야 합니다. 침입차단시스템 등 20종 제품은 공인시험기간이 발급한 '보안기능 확인서' 또는 우리나라(IT보안인증사무국)를 비롯, CCRA회원국이 발행한 CC 인증을 받아야 하며, 네트워크 장비는 보안기능 확인서를 받아야 합니다.

  • 양자암호통신장비를 도입하는 경우 보안기능확인서를 발급받은 제품을 도입하거나 도입 시 보안적합성 검증을 신청해야 합니다.

  • 아울러 가상사설망(VPN), 소프트웨어 기반 보안USB, 호스트 자료유출방지 등 3종 제품은 검증필 암호모듈을 탑재해야 합니다.

  • 아래 표에 포함되지 않은 제품 유형일지라도 보안기능 확인서를 발급받아 검증필 제품목록에 등재될 경우, 보안적합성 검증절차를 생략하고 운용할 수 있습니다.

제품군 제품 유형 도입 요건 도입 방법 보안적합성 검증 생략
침입차단 제품군 침입차단시스템(FW) CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서


발급 제품을 도입

 검증필 제품목록

등재 제품 도입시
웹 방화벽
(WAF)		 CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서


발급 제품을 도입
DDoS 대응장비

CC인증·성능평가·보안기능

확인서 중 어느 하나

CC인증·성능평가·보안기능 확인서

발급 제품중에서 도입
인터넷전화 보안제품 CC인증 또는 보안기능 확인서 CC인증 또는 보안기능 확인서 발급 제품을 도입
침입차단제품군 기타 없음 도입 후, 적합성 검증 신청
침입방지 제품군 침입방지시스템
(IPS·IDS)		 CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서


발급 제품을 도입

 검증필 제품목록

등재 제품 도입시
무선침입방지제품
(WIPS)		 CC인증 또는 보안기능 확인서

CC인증 또는 보안기능 확인서


발급 제품을 도입
침입방지제품군 기타 없음 도입 후, 적합성 검증 신청
구간보안 제품군 가상사설망
(VPN)

CC인증 또는 보안기능 확인서  

검증필 암호모듈 탑재

CC인증 또는 보안기능 확인서를 발급받고

검증필 암호모듈을 탑재한 제품 도입

 검증필 제품목록

등재 제품 도입시
네트워크 접근통제제품
(NAC)		 CC인증 또는 보안기능 확인서 CC인증 또는 보안기능 확인서 발급 제품을 도입
망간 자료전송제품 보안기능 확인서 보안기능 확인서 발급제품 도입
무선랜 인증제품 CC인증 또는 보안기능 확인서 CC인증 또는 보안기능 확인서 발급 제품을 도입
구간암호화제품 검증필 암호모듈 탑재 도입 후, 적합성 검증 신청
구간보안제품군 기타 없음 도입 후, 적합성 검증 신청
전송자료보안
제품군		 스팸메일 차단시스템 CC인증 또는 보안기능 확인서 CC인증 제품 또는 보안기능 확인서 발급 제품을 도입 검증필 제품목록

등재 제품 도입시
소프트웨어 기반 보안USB제품 보안기능 확인서  검증필 암호모듈 탑재 보안기능 확인서
발급제품 도입
호스트 자료유출방지제품 보안기능 확인서  검증필 암호모듈 탑재 보안기능 확인서
발급제품 도입
네트워크 자료유출 방지제품 보안기능 확인서 보안기능 확인서
발급제품 도입
메일암호화제품 검증필 암호모듈 탑재 도입 후, 적합성 검증 신청
전송자료보안제품군 기타 없음 도입 후, 적합성 검증 신청
보안관리 제품군 스마트카드
(COS 포함)		 CC인증 또는 보안기능 확인서

CC인증(EAL4 이상) 또는 보안기능 확인서

발급 제품을 도입

 국제 CC 인증 인정
통합보안 관리제품
(ESM, TMS, 통합로그관리)		 CC인증 또는 보안기능 확인서 CC인증 제품 또는 보안기능 확인서 발급 제품을 도입 검증필 제품목록

등재 제품 도입시
소스코드 보안약점 분석도구 CC인증·성능평가·보안기능 확인서 중 어느 하나 CC인증·성능평가·보안기능 확인서 발급 제품중에서 도입
패치관리시스템 CC인증 또는 보안기능 확인서 CC인증 또는 보안기능 확인서 발급 제품을 도입
DB 접근통제 제품 CC인증 또는 보안기능 확인서 CC인증 또는 보안기능 확인서 발급 제품을 도입
시스템 접근관리제품 없음 도입 후, 적합성 검증 신청
패스워드관리제품 없음 도입 후, 적합성 검증 신청
통합인증제품
(SSO)

CC인증 또는 보안기능 확인서

검증필 암호모듈 탑재

CC인증 또는 보안기능 확인서를 발급받고

검증필 암호모듈을 탑재한 제품 도입
보안관리제품군 기타 없음 도입 후, 적합성 검증 신청
가상화 제품군 가상화 관리제품 보안기능 확인서 보안기능 확인서 발급제품을 도입 검증필 제품목록

등재 제품 도입시
가상화제품군 기타 없음 도입 후, 적합성 검증 신청
엔드포인트 보안제품군 디지털 복합기 CC인증 또는 보안기능 확인서 CC인증 또는 보안기능 확인서 발급 제품을 도입 국제 CC 인증 인정
안티바이러스제품
(Windows)

CC인증·성능평가·보안기능확인서

중 어느 하나

 CC인증·성능평가·보안기능 확인서 제품중에서 도입 검증필 제품목록

등재 제품 도입시
안티바이러스제품
(Linux)		 성능평가 성능평가서 발급 제품을 도입
스마트폰 보안관리제품 CC인증 또는 보안기능 확인서 CC인증 또는 보안기능 확인서 발급 제품을 도입
운영체제(서버)
접근통제제품		 CC인증 또는 보안기능 확인서 CC인증 또는 보안기능 확인서 발급 제품을 도입
EDR제품 없음 도입 후, 적합성 검증 신청
APT대응제품 없음 도입 후, 적합성 검증 신청
문서암호화제품
(DRM)

CC인증 또는 보안기능 확인서

검증필 암호모듈 탑재

CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입
DB 암호화제품

CC인증 또는 보안기능 확인서

검증필 암호모듈 탑재

CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입
엔드포인트보안제품군 기타 없음 도입 후, 적합성 검증 신청
저장자료 완전삭제 제품군 저장자료 완전삭제 제품
(SSD 제외)		 없음 도입 후, 적합성 검증 신청 검증필 제품목록

등재 제품 도입시
네트워크 장비 L3 스위치 보안기능 확인서 보안기능 확인서
발급제품 도입		 검증필 제품목록

등재 제품 도입시
L4 스위치 보안기능 확인서 보안기능 확인서
발급제품 도입
L7 스위치 보안기능 확인서 보안기능 확인서
발급제품 도입
라우터 보안기능 확인서 보안기능 확인서
발급제품 도입
SDN컨트롤러 보안기능 확인서 보안기능 확인서
발급제품 도입
SDN스위치 보안기능 확인서 보안기능 확인서
발급제품 도입
L2 보안시스템 보안기능 확인서 보안기능 확인서
발급제품 도입
네트워크 장비 기타 보안기능 확인서 보안기능 확인서
발급제품 도입
양자암호통신 장비 양자키분배장비 없음 보안기능확인서 발급제품 도입
또는 도입 후 적합성 검증 신청		 검증필 제품목록

등재 제품 도입시
양자키관리장비 없음 보안기능확인서 발급제품 도입
또는 도입 후 적합성 검증 신청
양자통신암호화장비 없음 보안기능확인서 발급제품 도입
또는 도입 후 적합성 검증 신청
※ CC인증을 획득하였더라도 '안전성 검증필 제품 목록'에 없는 경우 도입 후 보안적합성 검증 신청 필요

도입시 유의사항

  • 국가ㆍ공공기관은 CC인증ㆍ보안기능 확인서 등 사전인증을 받은 제품을 도입할 경우 아래 유의사항을 확인 하시기 바랍니다.

    1. ① 도입하려는 제품의 사전인증 필수 유형 해당 여부와 발급받은 인증서(보안기능 확인서)가 도입시점에서 유효한지 확인해야 합니다. 인증서(보안기능 확인서)의 효력이 만료된 제품은 인증제품으로 인정되지 않습니다.

    2. ② 평가(시험)기관과 사전 협의중이거나 평가(시험)가 진행중일지라도 인증제품으로 인정되지 않습니다. 평가(시험) 협의ㆍ진행이 인증을 담보하지 않습니다.

    3. ③ 국제CC인증 제품의 경우 도입 기관이 사용을 원하는 보안기능이 인증범위에 포함되지 않을 수 있기 때문에 인증범위에 대한 확인이 필요합니다.

    4. ④ 도입기관이 사용하고자 하는 보안기능이 인증범위(TOE)에 포함되었는지 확인이 필요합니다.

    5. ⑤ CC인증 및 보안기능 확인서內 다양한 하드웨어가 탑재, 배포되는 경우 인증보고서에 해당 하드웨어 모델명칭이 기재되었는지 확인이 필요합니다.

    6. ⑥ CC인증은 등급 제한(스마트카드 제외)이 없습니다.

IT제품 도입 · 운용 절차

정보보호시스템ㆍ네트워크 장비 도입절차

  • 국가ㆍ공공기관은 도입하려는 정보보호시스템이 CC인증 획득ㆍ검증필 암호모듈 탑재 등 도입 요건의 만족 여부를 우선 확인한 후 도입 제품에 대해 보안적합성 검증을 신청하여야 합니다.

  • 다만, ①국내용 CC인증을 획득한 제품, ②국가용 PP 등 국가정보원장이 인정한 PP를 준수하여 국제 CC인증을 획득한 제품, ③보안기능 확인서 발급 제품, ④기타 국가용 보안요구사항을 만족하여 국가정보원장이 별도 공지한 제품은 보안 적합성 검증을 생략할 수 있습니다.

  • 국가정보원은 위의 생략 가능 조건을 만족할지라도 국가안보상 위해성이 해소되지 않았다고 우려되는 제품에 대해서는 추가 검증을 통해 안전성을 확인할 수 있습니다.

    • 정보보호시스템ㆍ네트워크 장비 도입절차

자료 전송 관련 제품의 도입절차

대상 제품 유형

  • 국가정보원은 각급기관의 주요 자료 유출을 방지하기 위해 ①소프트웨어 기반 보안USB, ②가상화 관리, ③네트워크 장비, ④네트워크 · 호스트 자료유출 방지, ⑤망간 자료전송 등 5종의 제품 유형에 대해 2020년부터 보안기능 확인서를 활용한 '先검증' 절차로 단계적 전환, 시행할 예정 입니다.

  • 제품유형 :

    소프트웨어 기반 보안USB

    • 현재요건 :

      CC 인증 (검증필 암호모듈 탑재)

    • 변경되는 요건 :

      보안기능 확인서 (검증필 암호모듈 탑재)

    • 시행일정 : 2020년 1월

  • 제품유형 :

    가상화 관리

    • 현재요건 :

      CC 인증

    • 변경되는 요건 :

      보안기능 확인서

    • 시행일정 : 2020년 1월

  • 제품유형 :

    네트워크 장비

    • 현재요건 :

      -

    • 변경되는 요건 :

      보안기능 확인서

    • 시행일정 : 2020년 1월

  • 제품유형 :

    네트워크 자료유출 방지

    • 현재요건 :

      CC 인증

    • 변경되는 요건 :

      보안기능 확인서

    • 시행일정 : 2021년 1월

  • 제품유형 :

    호스트 자료유출 방지
    (매체제어 포함)

    • 현재요건 :

      CC 인증 (검증필 암호모듈 탑재)

    • 변경되는 요건 :

      보안기능 확인서 (검증필 암호모듈 탑재)

    • 시행일정 : 2021년 1월

  • 제품유형 :

    망간 자료전송

    • 현재요건 :

      CC 인증

    • 변경되는 요건 :

      보안기능 확인서

    • 시행일정 : 2022년 1월

※ 가상화 관리 제품이란 기존 '가상화 제품'에서 분리, 신설된 제품 유형으로 '서버기반 가상화' 또는 'PC기반 가상화' 로 CC인증을 받은 제품 유형이 해당됩니다.

인증 효력 만료 및 형상 변경시 조치사항

인증효력·기술지원 만료시

  • 운용중인 제품이 사전 인증(CC인증ㆍ보안기능 확인서 등)의 만료 또는 개발 업체의 사정으로 더 이상의 유지보수 (기술지원)가 불가능할 경우, 해당 기관의 책임하에 ‘보안기능 점검표’ 및 ‘운용 점검사항’ 등을 활용하여 안전성을 확인하고 운용하여야 합니다.

보안적합성 검증 생략 제품의 형상변경시

  • 도입 당시 보안적합성 검증이 생략된 제품이 기능 개선ㆍ업데이트 등의 사유로 형상이 변경될 경우, ‘보안 기능 점검표’와 ‘운용 점검사항’을 활용하여 형상변경으로 인한 보안기능의 저하, 무력화 등의 영향을 점검한 후, 지속 운용할 수 있습니다. 이와 관련, 개발업체는 해당 제품에 대한 변경승인 또는 재평가 등의 절차를 통해 형상변경 사항을 해당 인증(보안기능 확인서ㆍCC인증 등)에 반영할 수 있습니다.

    • 보안적합성 검증 생략 제품의 형상변경시

보안적합성 검증 신청 제품의 형상변경시

  • 국가ㆍ공공기관은 보안적합성 검증이 완료된 제품의 형상이 변경된 경우, ①국가정보원에 보안적합성 검증을 재신청합니다. ②국가정보원은 보안적합성 검증을 통해 변경된 부분에 대한 안전성을 확인한 후 ③검증 결과를 통보하고 ④신청기관은 검증결과에 따라 해당 제품을 지속 운용할 수 있습니다. 다만, 보안기능이 추가되거나 제거되지 않는 등 변경 사항이 미미할 경우, ‘보안기능 점검표’와 ‘운용 점검사항’ 및 '변경내용 분석서' 등을 활용하여 자체적으로 안전성을 확인한 후 운용할 수 있습니다.

    • 보안적합성 검증 신청 제품의 형상변경시

    ※ ‘보안기능 점검표’와 ‘운용 점검사항’을 활용한 변경사항 확인과정에서 보안기능의 저하ㆍ무력화 등이 확인될 경우에는 변경을 중지하고 원래 상태로 복원하여야 합니다.

제출서류

보안적합성 검증 제출물

제출 서류

  • 보안적합성 검증 신청기관은 아래 <표 1>에 기재된 제출서류 중, ①보안적합성 검증신청서, ②도입확인서, ③기술 제안요청서, ④보안기능 점검표, ⑤운용점검사항 등 5종의 문서와 함께 업체로부터 ‘보안기능 운용 설명서’ 등 4종의 문서(제품 유형에 따라 상이)를 제출받아 공문에 첨부하여 제출하여야 합니다. 형상변경으로 인한 재검증 신청시에는 <표 2>에 기재된 ‘변경내용 분석서’ 등 5종의 문서를 제출하여야 하며, 보안적합성 검증 생략 제품 도입시에는 <표 3>에 기재된 문서를 제출하여야 합니다.

    ※ 국가정보원은 검증 대상제품의 안전성 검증에 필요할 경우, 관련 문서를 추가 제출토록 요청할 수 있습니다.

    • ① 보안적합성 검증 신청서

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ② 도입 확인서

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ③ 기술제안 요청서

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ④ 보안기능 점검표

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ⑤ 운용점검사항

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ⑥ CC 인증서 사본

      • 상용제품 : ○ (인증서 보유 시)

      • 자체(용역)개발 :

      • 작성 주체 : 업체

    • ⑦ 보안기능 운용 설명서

      • 상용제품 :

      • 자체(용역)개발 : -

      • 작성 주체 : 업체

    • ⑧ 기본 및 상세 설계서

      • 상용제품 : -

      • 자체(용역)개발 :

      • 작성 주체 : 업체

    • ⑨ 개발완료 보고서

      • 상용제품 : -

      • 자체(용역)개발 :

      • 작성 주체 : 업체

    표 1. 최초 검증 신청시 제출 서류

    • ① 보안적합성 검증 신청서

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ② 도입 확인서

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ③ 보안기능 점검표

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ④ 운용점검사항

      • 상용제품 :

      • 자체(용역)개발 :

      • 작성 주체 : 신청기관

    • ⑤ 변경내용 분석서

      • 상용제품 :

      • 자체(용역)개발 : -

      • 작성 주체 : 업체

    표 2. 재검증 신청시 제출 서류

  • 보안적합성 검증 생략 제품 도입시에는 <표 3>에 기재된 문서를 제출하여야 합니다.

    • ① 도입 확인서

      • 정보보호 시스템 :

      • 네트워크 장비 :

      • 양자암호통신장비 :

      • 작성 주체 : 신청기관

    • ② CC 인증서 또는 보안기능 시험 결과서 사본

      • 정보보호 시스템 :

      • 네트워크 장비 :

      • 양자암호통신장비 :

      • 작성 주체 : 신청기관

    • ③ 운용점검사항

      • 정보보호 시스템 :

      • 네트워크 장비 : -

      • 양자암호통신장비 : -

      • 작성 주체 : 신청기관

    • ④ 보안기능 운영 설명서

      • 정보보호 시스템 :

      • 네트워크 장비 :

      • 양자암호통신장비 :

      • 작성 주체 : 업체

    표 3. 검증 생략 제품 도입시 제출 서류

검증대상 제품

  • 개발 업체는 국가보안기술연구소가 안전성 시험을 위해 검증 대상 제품의 제출을 요청할 경우 5일(근무 일수 기준) 이내에 검증 신청제품과 동일한 제품을 국가보안기술연구소에 제출하여야 합니다.

제출서류 작성 및 활용 방법

기본 원칙

  • 모든 제출서류와 부속문서는 한국어(한글)로 작성되어야 합니다. 다만, 제품명 등의 고유명사는 해당 언어로 기재할 수 있습니다.

  • 제출 서류는 검증 신청제품에 대한 사항을 기재하여야 합니다. 형상번호(버전)가 상이하거나, 유사품에 해당 되는 내용을 기재할 경우, 인정되지 않습니다.

‘운용 점검사항’ 및 ‘보안기능 점검표’

  • ‘운용 점검사항’은 정보보호시스템을 도입한 기관이 해당 제품 운용시 확인하여야 할 사항이 기술된 문서로써 각급 기관은 이 문서를 활용하여 도입ㆍ운용 제품을 주기적으로 관리하시기 바랍니다.

  • ‘보안기능 점검표’는 보안적합성 검증 신청제품의 운용에 필요한 문서로써 보안적합성 검증 신청기관은 적합성 검증 기간이 장기간 소요되는 등 사전 운용이 불가피할 경우, 보안기능 점검표에 기재된 사항을 중심으로 도입 제품의 보안기능을 확인한 후, 임시로 운용할 수 있습니다.

‘보안기능 운용 설명서’

  • ‘제품 설명서’와 ‘보안기능 운용 설명서’는 정보보호시스템 개발 업체가 도입 기관에 제출하는 문서 중 일부로써 ‘제품 설명서’에는 제품의 운용 환경, 설치, 기본 사용법, 문제 해결 방법 등이 기술되어야 하며, ‘보안기능 운용 설명서’에는 제품의 보안기능 식별 및 이에 대한 설정ㆍ운용방법ㆍ수행절차 등이 기술되어야 합니다.

    ※ 보안적합성 검증 생략 대상제품만 도입시에는 <표 3>에 기재된 문서를 매 분기 1회 종합하여 제출하시기 바랍니다.