본문 바로가기

(방산보안,행정사) 보안적합성 검증체계 CC인증 vs 보안기능확인서

행정사 사무소 테미스(Themis) 2025. 12. 21.

방위산업체 지정이나 보안측정을 준비하는 실무자들에게 가장 까다로운 대목 중 하나는 날로 변화하는 보안 인증 체계와 기존 규정 사이의 간극을 메우는 일입니다. 특히 「방위산업보안업무훈령」에 명시된 'CC인증' 요건을 충족하기 위해 시중 제품을 검토하다 보면, 최신 제품들이 CC인증 대신 '보안기능확인서'를 보유하고 있어 규정 위반 여부를 두고 깊은 혼란에 빠지기 마련입니다.

 

*CC(Common Criteria) 인증은 정보보호 제품의 보안성을 평가하기 위한 국제 공동 평가 기준(ISO/IEC 15408)입니다. 과거 국가별로 상이했던 정보보호 시스템 평가 기준을 통합하여, 한 국가에서 인증받은 제품이 다른 국가에서도 상호 인정될 수 있도록 제정된 보안 평가 표준입니다.

 

이는 단순히 제품 선택의 문제가 아니라 국가정보원의 보안적합성 검증 체계가 고도화됨에 따라 발생하는 행정적 해석의 영역이므로, 보안측정 리스크를 최소화하기 위해서는 전문가적인 법리 해석과 논리적인 대응 시나리오가 반드시 뒷받침되어야 합니다.

방산보안 CC인증 - 행정사 사무소 테미스 02-6140-2002

 

I. 국정원 보안적합성 검증 체계의 변화와 규정 해석의 유연성

과거 국가정보원의 보안성 확인 수단이 CC인증으로 단일화되어 있었던 것과 달리, 현재는 제품의 특성과 중요도에 따라 검증 제도가 CC인증, 보안기능확인서, 암호모듈검증(KCMVP) 등으로 세분화되어 운영되고 있습니다. 따라서 보안 규정상에 'CC인증'이라는 문구가 명시되어 있다 하더라도 이를 특정 인증서 하나만을 의미하는 협의의 개념으로 해석해서는 안 되며, 국정원장이 인정한 '보안적합성 검증'이라는 상위 개념을 충족했는지를 묻는 광의의 개념으로 접근해야 합니다. 이러한 해석은 규정 문언을 자의적으로 무시하는 것이 아니라, 국정원의 최신 제품목록 운영 방식과 실제 감사 실무의 연계성을 고려한 합목적적 해석으로서 보안측정 시 평가관을 설득할 수 있는 핵심 논거가 됩니다.

II. 보안측정 현장 대응 논리: ‘명칭’이 아닌 ‘본질’에 집중하라

2020년 국정원의 보안 제품 검증 제도 개편 이후 보안USB를 포함한 특정 제품군은 CC인증 발급 대상에서 제외되고 '보안기능확인서' 발급 대상으로 전환되었습니다. 현장 보안측정 과정에서 CC인증 미보유에 대한 지적이 예상될 경우, "해당 제품은 규정을 위반한 것이 아니라 국정원의 검증 체계 개편에 따라 해당 제품군에 부여되는 적법한 최신 인증인 보안기능확인서를 획득함으로써 규정이 요구하는 보안 안전성을 실질적으로 충족했다"는 논리로 대응해야 합니다.

즉, 인증의 명칭이 달라진 것이 아니라 검증의 방식이 제품군별 특성에 맞춰 고도화된 것임을 명확히 설명하여 행정적 적합성을 입증하는 것이 중요합니다.

III. 시스템별 맞춤형 인증 요건과 사업별 특수 조건의 선제적 확인

  1. 제품군별 검증 요건의 차별적 적용 : 성공적인 보안측정을 위해서는 도입하려는 시스템별로 정확한 인증 요건을 매칭해야 하는데, 보안USB와 자료유출방지(DLP) 솔루션은 '보안기능확인서'가 필수적인 반면 문서암호화(DRM) 제품은 탑재된 '검증필 암호모듈(KCMVP)'의 유무가 핵심적인 평가 기준이 됩니다. 백신(Anti-Virus) 프로그램은 통상적으로 CC인증을 요구하는 것이 원칙이나 최근에는 성능평가 인증을 받은 제품까지 허용 범위가 확대되는 추세임을 인지하고 대비해야 합니다.
  2. 제안요청서(RFP) 등 특수 조건의 엄격성 :  일반적인 보안측정에서는 위와 같은 통합적 해석이 수용되지만, 일부 국방 관련 사업이나 특정 주관기관의 제안요청서(RFP)에서는 여전히 문언 그대로의 'CC인증'만을 고집하는 예외적인 사례가 존재합니다. 따라서 제품 도입 단계에서 일반적인 규정 해석에만 의존하기보다는 해당 프로젝트의 '보안요구사항 명세서'를 철저히 분석하고, 필요하다면 주관기관 보안 담당자에게 사전 질의를 통해 확답을 받아둠으로써 불필요한 교체 비용이나 보안 사고 리스크를 사전에 차단하는 절차가 반드시 필요합니다.

보안측정과 방산 보안 감사는 단순히 우수한 성능의 보안 제품을 도입했느냐를 넘어, 규정과 절차에 부합하는 제품임을 논리적으로 증명할 수 있느냐의 정교한 행정 싸움입니다. 국가정보원의 검증 체계 변화를 정확히 꿰뚫어 보고 우리 회사의 보안 시스템이 법적·행정적으로 결함이 없음을 입증할 때 비로소 안정적인 방산 사업 수행이 가능해집니다.

 

행정사 사무소 테미스는 방위산업보안업무훈령에 대한 깊이 있는 법리 해석과 수많은 현장 실무 경험을 바탕으로, 귀사의 상황에 최적화된 보안 규정 정비 및 보안측정 대응 전략을 밀착 지원해 드립니다.

 

저작자표시 비영리 변경금지 (새창열림)

'방산분야 인허가│방산업체,수출허가,수출업중개업,군수품무역대리업,보안측정' 카테고리의 다른 글

방산 수출업·중개업 신고 vs 군수품무역대리업 등록|보안측정과 신원조사가 사업의 성패를 가른다  (1) 2025.12.26
(전략물자수출,행정사) 민수용인데 왜 안 되나요? 러시아 수출 발목 잡는 상황허가의 정체  (0) 2025.12.24
(방산인허가) 민간기업의 방산수출, 전략물자 판정과 방산기술보호 실무의 정석  (0) 2025.12.18
K-방산의 '지속가능성' 방위사업청 ESG|행정사 사무소 테미스(Themis)  (1) 2025.12.06
(국방R&D, 행정사) 방산 진입 장벽, 정말 높기만 할까요? 국방과학기술혁신은 미래 전장의 게임 체인저  (0) 2025.11.26

관련글

댓글

티스토리툴바