정보보호제품 평가?인증 제도개선(안)에 따른 관련 규정 개정
정보보호제품 평가·인증제도(이하 ‘CC인증제도’) 정책기관인 과학기술정보통신부는 2020년 산업계 및 평가·인증기관 등 유관기관과 함께 CC인증제도를 개선하기 위한 연구반을 운영하였으며, 과학기술정보통신부 보도자료(「2021년, 디지털 뉴딜 성공을 뒷받침할 정보보호 제도와 지원 사업」, 2021.1.8.)를 통해 주요 개선방안을 공개하였습니다.
이에, 과학기술정보통신부와 IT보안인증사무국은 공개된 개선방안 등을 포함하여 관련 규정을 개정하고 2021년 5월 17일 부로 시행합니다.
1. 주요 개정사항은 아래와 같습니다.
o 국내용 인증서 유효기간 확대(3년→5년)
인증서 유효기간 확대는 과학기술정보통신부 공문(「정보보호제품 평가·인증제도개선 알림」, 2021.1.13.)을 통해 2021년 1월 13일 부로 우선 시행하였습니다.
o 국내용 변경승인 기준 완화 및 절차 개정
정책기관에서 정한 예외정책에 따라 국내용 인증제품의 변경승인을 추가로 허용할 수 있도록 규정을 개정하였습니다.
변경승인 예외정책에 대한 세부 내용은 「CCRA 보조문서 보증 연속성 적용 가이드」에 포함하여 함께 개정 공지하였으니 최신 문서 참고하시기 바랍니다. 지정된 공개용 소프트웨어 55종에 한하여, 인증보고서를 통해 국내용 인증제품에 포함되었음이 확인된 경우 해당 공개용 소프트웨어 취약점 패치 시 변경승인을 허용합니다. 변경승인이 가능한 공개용 소프트웨어 55종 목록은 가이드에 포함하여 공개하였습니다.
또한, 국내용 인증제품에 대한 변경승인은 평가기관에서 결정할 수 있도록 규정을 개정하였습니다.
o 국내용 인증서효력연장 절차 개정 및 중간점검 절차 신설
국내용 인증서 유효기간이 5년으로 확대됨에 따라 인증서효력은 5년을 1회 연장할 수 있도록 개정하였습니다. 인증서를 발급받은 이후 이미 2회 이상 인증서효력을 연장한 제품의 경우 인증서효력연장이 허용되지 않습니다.
인증서효력연장을 위해 인증서보유기관은 최소 만료일 120일 이전에 신청서를 평가기관에 제출해야 합니다(현행 90일에서 120일로 변경하였습니다.). 다만, 인증서보유기관에서 변경된 날짜에 신청하기 위한 준비 기간 등을 고려하여 인증서 만료일이 2021년 10월 17일 이전에 해당되는 경우에 한해 현행과 동일하게 90일 이전에 신청하는 것을 허용합니다.
중간점검 절차가 신설되었습니다. 인증일로부터 3년이 되는 날 및 8년이 되는 날(인증서효력을 연장한 경우에 한함)을 중간점검일로 하고 중간점검 수행 여부가 홈페이지에 공개됩니다. 중간점검은 중간점검일 120일 이전에 신청해야 합니다. 중간점검 시에는 국내용 변경승인 대상으로 지정된 공개용 소프트웨어 55종에 한하여, 인증보고서를 통해 국내용 인증제품에 포함되었음이 확인된 경우 해당 공개용 소프트웨어의 취약점이 패치되었음을 검증합니다.
중간점검 또는 인증서효력연장을 신청하지 않거나 중간점검일 또는 인증서 만료일 이전에 완료하지 않은 경우 인증서효력은 만료일 이후에 만료됩니다.
국내용 인증서효력연장 및 중간점검에 대한 세부 사항은 「국내용 중간점검 및 인증서효력연장 수행 가이드」에 포함하여 함께 개정 공지하였으니 최신 문서 참고하시기 바랍니다.
또한, 국내용 인증제품에 대한 인증서효력연장 및 중간점검은 평가기관에서 결정할 수 있도록 규정을 개정하였습니다.
2. 개정 발표된 국가용 보안요구사항 적용 관련
2021년 4월 2일 국가용 보안요구사항 V3.0이 발표되었습니다. 적용 유예기간은 2021년 4월 2일부터 2023년 4월 1일까지이며, 2023년 4월 2일 이후에는 이전 국가용 보안요구사항을 적용한 평가착수 및 인증서효력연장이 허용되지 않습니다. 다만, 2023년 12월 31일 이전에 인증서 효력이 만료될 예정인 인증제품은 유예기간 내에 인증서효력연장을 신청하여 완료하는 경우 인증서효력연장을 허용합니다.
평가기관별로 신청 현황이 다르므로 인증서보유기관은 사전에 평가기관에 문의하시어 인증서효력연장에 소요되는 기간 등을 고려하여 충분한 시간을 확보하여 평가기관에 신청하실 것을 권고드립니다.
