여러 위치에 배포되는 네트워크 장비 도입을 검토할 때 어떤 장비는 CC 인증을 받았는지 봐야 하고, 어떤 장비는 보안적합성 검증 여부를 따져 봐야 합니다. 그렇다면 어떤 기준에 따라 CC 인증과 보안적합성 검증이 나누어질까요? 이 질문은 실제로 IT 프로젝트를 추진할 때 담당자들이 벤더에 자주 묻는 질문 중 하나인데요, 쉽게 풀어 봤습니다.
글. 펌킨네트웍스 사업본부 우종민 (jmwoo@pumpkinnet.com)
먼저 개념 정리부터 하겠습니다. 보안적합성 검증이란 무엇일까요? 이는 국가정보원에서 국가, 공공기관에서 도입하는 정보보호시스템에 대한 안정성을 검증하는 제도입니다. 보안 기능이 포함된 IT 제품을 도입할 경우 국가, 공공기관은 보안적합성을 검증한 다음 이 과정에서 발견된 취약점을 해결할 후 운영해야 합니다. 참고로 CC 인증의 경우 24개 정보보호시스템 유형에 포함될 경우 반드시 받아야 합니다. 관련 국가정보원의 고지 사항은 다음과 같습니다.
위의 고지 내용과 같이 L4 스위치는 보안적합성 검증 대상입니다. CC 인증의 경우는 24개 정보보호시스템 유형에 포함되는 경우 받아야 합니다. 간혹 L4 스위치도 CC 인증을 받아야 하는 대상으로 오해하는 분들이 있는데, 정확히 말해 L4 스위치는 전문 보안 솔루션이 아니므로 CC 인증을 받을 필요가 없습니다. CC 인증을 요구하는 장비는 다음과 같은 보안 전문 솔루션들이 대상이라 봐야 합니다.
위 24개 제품 유형과 달리 스위치, 라우터 등의 네트워크 장비는 다음과같은 과정을 통해 보안적합성 검증을 받으면 도입해 운영하는데 아무런 문제가 없습니다.
참고로 펌킨네트웍스는 L4 스위치 전 제품군에 적용하는 펌웨어에 대한 정기 보안적합성 검증을 연 2회 받는 등 철저한 보안 관리로 국가가 제시한 네트워크 장비 평가 기준을 만족합니다.
이상으로 보안접합성 검증의 개념과 L4 스위치가 왜 그 대상인지 그리고 검증 절차는 어떻게 되는지에 대해 알아보았습니다. 더 자세한 내용은 국가정보원 홈페이지에 나와 있는 보안적합성 검증 내용을 참고 바랍니다.
