보안적합성 검증
개요
보안적합성 검증제도 개요
-
보안적합성 검증은 국가정보통신망의 보안수준 제고를 위해 「국가정보원법」 제4조와 「전자정부법」 제56조에 의거, 국가ㆍ공공기관이 도입하는 정보보호시스템ㆍ네트워크 장비 및 양자암호통신장비 등 보안기능이 탑재된 IT제품 및 저장자료 완전삭제제품의 안전성을 검증하는 제도 입니다.
-
중앙행정기관, 주요정보통신기반시설 관리기관, 광역시ㆍ도, 광역시ㆍ도 교육청은 정보보호시스템ㆍ네트워크 장비 및 양자암호통신장비 도입후 국가정보원에 보안적합성 검증을 신청하여야 하며 검증과정에서 발견된 취약점을 제거한 후에 운용 하여야 합니다.
보안적합성 검증 절차
-
국가ㆍ공공기관은 ①검증 대상 제품 도입 즉시, 국가정보원에 보안적합성 검증을 신청하여야 합니다. ②국가 정보원은 신청을 접수한 후 검증대상 제품의 국가용 보안요구사항 만족 여부 확인을 위해 국가보안기술연구소에 시험을 의뢰하고 ③국가보안기술연구소는 시험결과를 국가정보원에 제출합니다. ④국가정보원은 시험결과 및 보안대책을 검토하여 신청 기관에 보안적합성 검증 결과를 통보합니다. ⑤국가ㆍ공공기관은 보안적합성 검증결과에 따라 발견된 보안 취약점을 제거한 후, 정보보호시스템ㆍ네트워크 장비를 운용하여야 합니다.
제품 유형별 도입 기준
사전 인증이 필요한 제품 유형
-
국가ㆍ공공기관이 도입하는 정보보호시스템과 네트워크 장비는 유형에 따라 CC인증 또는 보안기능 확인서 등 사전 인증을 획득해야 합니다. 침입차단시스템 등 20종 제품은 공인시험기간이 발급한 '보안기능 확인서' 또는 우리나라(IT보안인증사무국)를 비롯, CCRA회원국이 발행한 CC 인증을 받아야 하며, 네트워크 장비는 보안기능 확인서를 받아야 합니다.
-
양자암호통신장비를 도입하는 경우 보안기능확인서를 발급받은 제품을 도입하거나 도입 시 보안적합성 검증을 신청해야 합니다.
-
아울러 가상사설망(VPN), 소프트웨어 기반 보안USB, 호스트 자료유출방지 등 3종 제품은 검증필 암호모듈을 탑재해야 합니다.
-
아래 표에 포함되지 않은 제품 유형일지라도 보안기능 확인서를 발급받아 검증필 제품목록에 등재될 경우, 보안적합성 검증절차를 생략하고 운용할 수 있습니다.
제품군 | 제품 유형 | 도입 요건 | 도입 방법 | 보안적합성 검증 생략 |
---|---|---|---|---|
침입차단 제품군 | 침입차단시스템(FW) | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 |
검증필 제품목록 등재 제품 도입시 |
웹 방화벽 (WAF) |
CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 |
||
DDoS 대응장비 | CC인증·성능평가·보안기능 확인서 중 어느 하나 |
CC인증·성능평가·보안기능 확인서 발급 제품중에서 도입 |
||
인터넷전화 보안제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
침입차단제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
침입방지 제품군 | 침입방지시스템 (IPS·IDS) |
CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 |
검증필 제품목록 등재 제품 도입시 |
무선침입방지제품 (WIPS) |
CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 |
||
침입방지제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
구간보안 제품군 | 가상사설망 (VPN) |
CC인증 또는 보안기능 확인서 검증필 암호모듈 탑재 |
CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입 |
검증필 제품목록 등재 제품 도입시 |
네트워크 접근통제제품 (NAC) |
CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
망간 자료전송제품 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 | ||
무선랜 인증제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
구간암호화제품 | 검증필 암호모듈 탑재 | 도입 후, 적합성 검증 신청 | ||
구간보안제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
전송자료보안 제품군 |
스팸메일 차단시스템 | CC인증 또는 보안기능 확인서 | CC인증 제품 또는 보안기능 확인서 발급 제품을 도입 |
검증필 제품목록 등재 제품 도입시 |
소프트웨어 기반 보안USB제품 | 보안기능 확인서 검증필 암호모듈 탑재 | 보안기능 확인서 발급제품 도입 |
||
호스트 자료유출방지제품 | 보안기능 확인서 검증필 암호모듈 탑재 | 보안기능 확인서 발급제품 도입 |
||
네트워크 자료유출 방지제품 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
||
메일암호화제품 | 검증필 암호모듈 탑재 | 도입 후, 적합성 검증 신청 | ||
전송자료보안제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
보안관리 제품군 | 스마트카드 (COS 포함) |
CC인증 또는 보안기능 확인서 | CC인증(EAL4 이상) 또는 보안기능 확인서 발급 제품을 도입 |
국제 CC 인증 인정 |
통합보안 관리제품 (ESM, TMS, 통합로그관리) |
CC인증 또는 보안기능 확인서 | CC인증 제품 또는 보안기능 확인서 발급 제품을 도입 | 검증필 제품목록 등재 제품 도입시 |
|
소스코드 보안약점 분석도구 | CC인증·성능평가·보안기능 확인서 중 어느 하나 | CC인증·성능평가·보안기능 확인서 발급 제품중에서 도입 | ||
패치관리시스템 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 |
||
DB 접근통제 제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
시스템 접근관리제품 | 없음 | 도입 후, 적합성 검증 신청 | ||
패스워드관리제품 | 없음 | 도입 후, 적합성 검증 신청 | ||
통합인증제품 (SSO) |
CC인증 또는 보안기능 확인서 검증필 암호모듈 탑재 |
CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입 |
||
보안관리제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
가상화 제품군 | 가상화 관리제품 | 보안기능 확인서 | 보안기능 확인서 발급제품을 도입 | 검증필 제품목록 등재 제품 도입시 |
가상화제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
엔드포인트 보안제품군 | 디지털 복합기 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | 국제 CC 인증 인정 |
안티바이러스제품 (Windows) |
CC인증·성능평가·보안기능확인서 중 어느 하나 |
CC인증·성능평가·보안기능 확인서 제품중에서 도입 |
검증필 제품목록 등재 제품 도입시 |
|
안티바이러스제품 (Linux) |
성능평가 | 성능평가서 발급 제품을 도입 | ||
스마트폰 보안관리제품 | CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
운영체제(서버) 접근통제제품 |
CC인증 또는 보안기능 확인서 | CC인증 또는 보안기능 확인서 발급 제품을 도입 | ||
EDR제품 | 없음 | 도입 후, 적합성 검증 신청 | ||
APT대응제품 | 없음 | 도입 후, 적합성 검증 신청 | ||
문서암호화제품 (DRM) |
CC인증 또는 보안기능 확인서 검증필 암호모듈 탑재 |
CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입 |
||
DB 암호화제품 | CC인증 또는 보안기능 확인서 검증필 암호모듈 탑재 |
CC인증 또는 보안기능 확인서를 발급받고 검증필 암호모듈을 탑재한 제품 도입 |
||
엔드포인트보안제품군 기타 | 없음 | 도입 후, 적합성 검증 신청 | ||
저장자료 완전삭제 제품군 | 저장자료 완전삭제 제품 (SSD 제외) |
없음 | 도입 후, 적합성 검증 신청 | 검증필 제품목록 등재 제품 도입시 |
네트워크 장비 | L3 스위치 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
검증필 제품목록 등재 제품 도입시 |
L4 스위치 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
||
L7 스위치 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
||
라우터 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
||
SDN컨트롤러 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
||
SDN스위치 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
||
L2 보안시스템 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
||
네트워크 장비 기타 | 보안기능 확인서 | 보안기능 확인서 발급제품 도입 |
||
양자암호통신 장비 | 양자키분배장비 | 없음 | 보안기능확인서 발급제품 도입 또는 도입 후 적합성 검증 신청 |
검증필 제품목록 등재 제품 도입시 |
양자키관리장비 | 없음 | 보안기능확인서 발급제품 도입 또는 도입 후 적합성 검증 신청 |
||
양자통신암호화장비 | 없음 | 보안기능확인서 발급제품 도입 또는 도입 후 적합성 검증 신청 |
도입시 유의사항
-
국가ㆍ공공기관은 CC인증ㆍ보안기능 확인서 등 사전인증을 받은 제품을 도입할 경우 아래 유의사항을 확인 하시기 바랍니다.
IT제품 도입 · 운용 절차
정보보호시스템ㆍ네트워크 장비 도입절차
-
국가ㆍ공공기관은 도입하려는 정보보호시스템이 CC인증 획득ㆍ검증필 암호모듈 탑재 등 도입 요건의 만족 여부를 우선 확인한 후 도입 제품에 대해 보안적합성 검증을 신청하여야 합니다.
-
다만, ①국내용 CC인증을 획득한 제품, ②국가용 PP 등 국가정보원장이 인정한 PP를 준수하여 국제 CC인증을 획득한 제품, ③보안기능 확인서 발급 제품, ④기타 국가용 보안요구사항을 만족하여 국가정보원장이 별도 공지한 제품은 보안 적합성 검증을 생략할 수 있습니다.
-
국가정보원은 위의 생략 가능 조건을 만족할지라도 국가안보상 위해성이 해소되지 않았다고 우려되는 제품에 대해서는 추가 검증을 통해 안전성을 확인할 수 있습니다.
자료 전송 관련 제품의 도입절차
대상 제품 유형
-
국가정보원은 각급기관의 주요 자료 유출을 방지하기 위해 ①소프트웨어 기반 보안USB, ②가상화 관리, ③네트워크 장비, ④네트워크 · 호스트 자료유출 방지, ⑤망간 자료전송 등 5종의 제품 유형에 대해 2020년부터 보안기능 확인서를 활용한 '先검증' 절차로 단계적 전환, 시행할 예정 입니다.
-
제품유형 :
소프트웨어 기반 보안USB
-
-
현재요건 :
CC 인증 (검증필 암호모듈 탑재)
-
변경되는 요건 :
보안기능 확인서 (검증필 암호모듈 탑재)
-
시행일정 : 2020년 1월
-
-
제품유형 :
가상화 관리
-
-
현재요건 :
CC 인증
-
변경되는 요건 :
보안기능 확인서
-
시행일정 : 2020년 1월
-
-
제품유형 :
네트워크 장비
-
-
현재요건 :
-
-
변경되는 요건 :
보안기능 확인서
-
시행일정 : 2020년 1월
-
-
제품유형 :
네트워크 자료유출 방지
-
-
현재요건 :
CC 인증
-
변경되는 요건 :
보안기능 확인서
-
시행일정 : 2021년 1월
-
-
제품유형 :
호스트 자료유출 방지
(매체제어 포함) -
-
현재요건 :
CC 인증 (검증필 암호모듈 탑재)
-
변경되는 요건 :
보안기능 확인서 (검증필 암호모듈 탑재)
-
시행일정 : 2021년 1월
-
-
제품유형 :
망간 자료전송
-
-
현재요건 :
CC 인증
-
변경되는 요건 :
보안기능 확인서
-
시행일정 : 2022년 1월
-
인증 효력 만료 및 형상 변경시 조치사항
인증효력·기술지원 만료시
-
운용중인 제품이 사전 인증(CC인증ㆍ보안기능 확인서 등)의 만료 또는 개발 업체의 사정으로 더 이상의 유지보수 (기술지원)가 불가능할 경우, 해당 기관의 책임하에 ‘보안기능 점검표’ 및 ‘운용 점검사항’ 등을 활용하여 안전성을 확인하고 운용하여야 합니다.
보안적합성 검증 생략 제품의 형상변경시
-
도입 당시 보안적합성 검증이 생략된 제품이 기능 개선ㆍ업데이트 등의 사유로 형상이 변경될 경우, ‘보안 기능 점검표’와 ‘운용 점검사항’을 활용하여 형상변경으로 인한 보안기능의 저하, 무력화 등의 영향을 점검한 후, 지속 운용할 수 있습니다. 이와 관련, 개발업체는 해당 제품에 대한 변경승인 또는 재평가 등의 절차를 통해 형상변경 사항을 해당 인증(보안기능 확인서ㆍCC인증 등)에 반영할 수 있습니다.
보안적합성 검증 신청 제품의 형상변경시
-
국가ㆍ공공기관은 보안적합성 검증이 완료된 제품의 형상이 변경된 경우, ①국가정보원에 보안적합성 검증을 재신청합니다. ②국가정보원은 보안적합성 검증을 통해 변경된 부분에 대한 안전성을 확인한 후 ③검증 결과를 통보하고 ④신청기관은 검증결과에 따라 해당 제품을 지속 운용할 수 있습니다. 다만, 보안기능이 추가되거나 제거되지 않는 등 변경 사항이 미미할 경우, ‘보안기능 점검표’와 ‘운용 점검사항’ 및 '변경내용 분석서' 등을 활용하여 자체적으로 안전성을 확인한 후 운용할 수 있습니다.
제출서류
보안적합성 검증 제출물
제출 서류
-
보안적합성 검증 신청기관은 아래 <표 1>에 기재된 제출서류 중, ①보안적합성 검증신청서, ②도입확인서, ③기술 제안요청서, ④보안기능 점검표, ⑤운용점검사항 등 5종의 문서와 함께 업체로부터 ‘보안기능 운용 설명서’ 등 4종의 문서(제품 유형에 따라 상이)를 제출받아 공문에 첨부하여 제출하여야 합니다. 형상변경으로 인한 재검증 신청시에는 <표 2>에 기재된 ‘변경내용 분석서’ 등 5종의 문서를 제출하여야 하며, 보안적합성 검증 생략 제품 도입시에는 <표 3>에 기재된 문서를 제출하여야 합니다.
-
① 보안적합성 검증 신청서
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
② 도입 확인서
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
③ 기술제안 요청서
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
④ 보안기능 점검표
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
⑤ 운용점검사항
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
⑥ CC 인증서 사본
-
-
상용제품 : ○ (인증서 보유 시)
-
자체(용역)개발 : ○
-
작성 주체 : 업체
-
-
⑦ 보안기능 운용 설명서
-
-
상용제품 : ○
-
자체(용역)개발 : -
-
작성 주체 : 업체
-
-
⑧ 기본 및 상세 설계서
-
-
상용제품 : -
-
자체(용역)개발 : ○
-
작성 주체 : 업체
-
-
⑨ 개발완료 보고서
-
-
상용제품 : -
-
자체(용역)개발 : ○
-
작성 주체 : 업체
-
-
① 보안적합성 검증 신청서
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
② 도입 확인서
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
③ 보안기능 점검표
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
④ 운용점검사항
-
-
상용제품 : ○
-
자체(용역)개발 : ○
-
작성 주체 : 신청기관
-
-
⑤ 변경내용 분석서
-
-
상용제품 : ○
-
자체(용역)개발 : -
-
작성 주체 : 업체
-
-
보안적합성 검증 생략 제품 도입시에는 <표 3>에 기재된 문서를 제출하여야 합니다.
-
① 도입 확인서
-
-
정보보호 시스템 : ○
-
네트워크 장비 : ○
-
양자암호통신장비 : ○
-
작성 주체 : 신청기관
-
-
② CC 인증서 또는 보안기능 시험 결과서 사본
-
-
정보보호 시스템 : ○
-
네트워크 장비 : ○
-
양자암호통신장비 : ○
-
작성 주체 : 신청기관
-
-
③ 운용점검사항
-
-
정보보호 시스템 : ○
-
네트워크 장비 : -
-
양자암호통신장비 : -
-
작성 주체 : 신청기관
-
-
④ 보안기능 운영 설명서
-
-
정보보호 시스템 : ○
-
네트워크 장비 : ○
-
양자암호통신장비 : ○
-
작성 주체 : 업체
-
검증대상 제품
-
개발 업체는 국가보안기술연구소가 안전성 시험을 위해 검증 대상 제품의 제출을 요청할 경우 5일(근무 일수 기준) 이내에 검증 신청제품과 동일한 제품을 국가보안기술연구소에 제출하여야 합니다.
제출서류 작성 및 활용 방법
기본 원칙
-
모든 제출서류와 부속문서는 한국어(한글)로 작성되어야 합니다. 다만, 제품명 등의 고유명사는 해당 언어로 기재할 수 있습니다.
-
제출 서류는 검증 신청제품에 대한 사항을 기재하여야 합니다. 형상번호(버전)가 상이하거나, 유사품에 해당 되는 내용을 기재할 경우, 인정되지 않습니다.
‘운용 점검사항’ 및 ‘보안기능 점검표’
-
‘운용 점검사항’은 정보보호시스템을 도입한 기관이 해당 제품 운용시 확인하여야 할 사항이 기술된 문서로써 각급 기관은 이 문서를 활용하여 도입ㆍ운용 제품을 주기적으로 관리하시기 바랍니다.
-
‘보안기능 점검표’는 보안적합성 검증 신청제품의 운용에 필요한 문서로써 보안적합성 검증 신청기관은 적합성 검증 기간이 장기간 소요되는 등 사전 운용이 불가피할 경우, 보안기능 점검표에 기재된 사항을 중심으로 도입 제품의 보안기능을 확인한 후, 임시로 운용할 수 있습니다.
‘보안기능 운용 설명서’
-
‘제품 설명서’와 ‘보안기능 운용 설명서’는 정보보호시스템 개발 업체가 도입 기관에 제출하는 문서 중 일부로써 ‘제품 설명서’에는 제품의 운용 환경, 설치, 기본 사용법, 문제 해결 방법 등이 기술되어야 하며, ‘보안기능 운용 설명서’에는 제품의 보안기능 식별 및 이에 대한 설정ㆍ운용방법ㆍ수행절차 등이 기술되어야 합니다.