㈜세이퍼존(대표 권창훈)은 국가용 보안요구사항 V3.0 기반의 국정원 보안기능확인서 인증을 획득하고, 2030년까지 유효한 검증필 암호모듈(Magic Crypto V2.3)을 탑재한 최신 보안USB 및 호스트자료유출방지(DLP) 제품에 대해 2030년 11월까지 유효한 복합 인증을 확보했다고 1일 밝혔다.
이번 인증에서는 기술지원이 종료된 리눅스 CentOS 대신 최신 로키(Rocky) 리눅스 OS로 전환한 점도 공식 반영됐다.
국가기관의 정보보호시스템 도입 기준은 최신 규격인 국가용 보안요구사항 V3.0이다. 이 기준은 국가정보원 국가사이버안보센터가 배포하며, 2023년 4월 1일부터 공공기관의 보안시스템 인증 시 필수 적용되고 있다.
공공기관이 국정원 인증 제품을 도입할 때 핵심적으로 살펴야 할 사항은 인증 만료일, 검증필 암호모듈 만료일, 국가용 보안요구사항 버전, 운영체제(OS) 지원 여부 등이다. 보안 담당자는 이 요소들의 만료 기간을 면밀히 확인해야 하며, 이를 소홀히 할 경우 예산 낭비나 도입 실패로 이어질 수 있다는 것이 관계자의 설명이다.
운영체제(OS) 지원 종료는 조직의 보안과 규정 준수에 중대한 위험을 초래한다. 지원이 만료된 OS 기반 보안제품을 도입하거나, 업그레이드 계획 없이 노후 시스템을 방치할 경우 조달·구매 과정에서 업무상 과실로 판단될 수 있다. 특히 지원 종료된 OS를 사용하다 보안 사고가 발생할 경우 담당자는 감사 대상이 되며, 중대한 과실이 인정되면 감봉·정직·해고 등 기관 규정에 따른 징계 처분이 내려질 가능성도 있다.
㈜세이퍼존 국정원 인증담당 이주희 이사는 “A사 Privacy 제품은 2021년 5월 호스트자료유출방지(DLP) 제품으로 CC인증을 받았으며, 인증 잔여 기간이 약 6개월 남은 상태다”라며 “해당 제품은 보안기능확인서 인증으로 용지가 변경되었지만 실질적으로는 CC인증 제품이며, 적용된 국가용 보안요구사항은 최신 V3.0보다 기준이 낮은 V1.1이다. 국가기관에서 정보보호시스템을 도입할 때 최신 보안요구사항을 기준으로 해야 한다는 점에서 한계가 있다”라고 말했다. 또한 “검증필 암호모듈이 만료 되면 조달제도상 조달 상실된다고 한다”라며 주의를 당부했다.
[ⓒ 대학저널. 무단전재-재배포 금지]
