Home > 전체기사

신속확인제, 보안산업 발전의 ‘혁신’ 불러올 ‘Key’ 될까

  |  입력 : 2022-11-22 16:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
과기정통부, 혁신 정보보호 제품의 공공도입 활성화 위해 신속확인제 도입

[보안뉴스 원병철 기자] 급변하는 기술의 발전과 빠르게 증가하고 있는 보안위협에 대응하기 위해 과학기술정보통신부(이하 과기정통부)는 신속확인제 도입을 추진하고 있다. 11월 시행을 앞두고 있는 지금, 관련 기업들이 가장 궁금해 하는 점은 무엇일까? 과기정통부는 11월 22일 ‘신속확인제 시행 관련 기자간담회’를 열고 신속확인제에 대한 궁금증을 해소했다.

▲김정삼 과기정통부 정보보호네트워크정책관[사진=보안뉴스]


신속확인제는 공공분야의 경우 CC나 보안기능확인서, 성능평가 등 기존 보안제도의 평가기준을 만족해야 도입할 수 있는 현실에서, 평가기준이 없는 신기술과 융복합 제품을 개발한 보안기업이나 스타트업 등의 고민을 해결하기 위해 만든 제도다.

지난 2022년 8월 18일 국정현안점검조정회에서 ‘정보보호 규제개선 추진상황 및 계획’이 통과됐고, 신기술 및 융복합 정보보호 제품이 공공시장에 선도입할 수 있도록 신속확인제의 도입이 결정됐다. 이후 과기정통부 ‘정보보호시스템 평가·인증 등에 관한 고시’를 통해 법적근거를 마련했으며, △정책기관-과기정통부 △신속확인기관-KISA △보안점검기관(정보보호 전문 서비스 기업·정보시스템 감리법인·정보보호시스템 평가기관) 및 기능시험 기관(KOLAS 공인시험기관) 등으로 체계를 갖췄다.

신속확인 대상은 평가기준이 없는 신기술 및 융복합 제품으로 예를 들어 △빅데이터 분석기반 지능형 통합보안 솔루션 △안티바이러스+패치관리+방화벽 기능 제품 △인공지능 기반의 사이버 위협 인텔리전스 제품 △인공지능 기반의 소스코드 보안약점 분석 도구 등 기존 제도의 평가 불가능 제품이면서 타 기능의 제품은 신속확인이 가능하다.

반대로 △DDoS 대응장비, 소스코드 보안약점 분석도구(CC, 성능평가 가능) △클라우드 기반 시큐어코딩 제품, 스마트홈 제품(클라우드 보안인증제 또는 IoT 보안인증제 가능) △하이퍼바이저 제품, NAS 제품(주요 기능이 정보보호가 아닌 가상 머신, 저장장치) 등 기존제도 평가가 가능하거나 타 기능의 제품은 신속확인이 불가능하다.

그렇다면 신속확인 절차는 어떻게 될까? KISA에서는 전체로는 2~3개월, 그리고 사전준비 기간을 제외한 신청 후 기간은 1.5~2개월 정도로 예상하고 있다. 순서별로 보면 신청기업은 ①대상여부인지 검토를 받고 ②이후 보안점검 등 기업 사전준비를 거친다. 이후 ③신속확인을 신청하면 ④심의위원회를 거쳐 ⑤신속확인서가 발급된다.

신속확인제는 공공기관 3그룹(가·나·다) 중 ‘가’ 그룹(중앙행정기관, 외교안보 관계기관, 주요기반시설관리기관 등)을 제외한 ‘나’, ‘다’ 그룹의 경우 도입이 가능하다. 또한 ‘가’ 그룹 기관도 도입 이후에 국정원 보안적합성 검증을 받아 운용이 가능하다.

보안점검과 기능시험 기관은 정보보호산업진흥포털 ‘정보보호제품 신속확인’에서 보안점검 및 기능시험 기관 목록에서 확인할 수 있으며, 추가로 KISA에 요청할 경우 개인(기관)정보 수집 및 제3자 제공 동의한 점검·시험기관 담당자 정보를 공유 받을 수 있다.

아울러 취약점 점검 및 소스코드 보안약점 진단항목은 취약점 점검을 하는 제도인 정보통신기반시설, 클라우드인증, IoT 인증 등의 항목과 OWASP 취약점을 검토해 항목을 도출했으며, 기존 제도 시험기관의 평가자 의견을 수렴해 점검 항목을 선정했다. 또한 취약점 및 보안약점 진단 항목은 기업도 미리 취약점을 제거할 수 있도록 매년 업데이트해 홈페이지 등에 공개될 예정이다.

또한 GS인증서를 제출하면 기능시험 대체가 가능하며, 준비서류인 ‘제품 기능 설명서’는 향후 GS인증 획득시 활용할 수 있도록 구성할 예정이다.

신속확인제의 유예기간은 2년이며, 기존 제도에서 신속확인 제품의 기준이 마련돼도 효력은 유지된다. 물론 신속확인제 자체의 변경승인 또는 유효기간(2년) 연장도 가능하다.

김정삼 과기정통부 정보보호네트워크정책관은 “신속확인제도는 기존 평가기준이 없는 혁신적인 보안제품의 도입을 위한 대안”이라면서, “제로트러스트 등 보안의 새로운 방향성이 제시되고 있는 지금, 보안 제도 역시 혁신이 필요한데 바로 신속확인제도가 그렇다”고 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)