정보보호 컨설팅과 보안 제품 도입과 클라우드 보안 서비스 이용 지원을 받는 중소기업이 1270개까지 확대된다. 또 정보보호제품 평가·인증 재평가 기준이 완화된다. 영세·중소기업을 위한 정보보호관리체계 인증(ISMS) 간편 인증 제도가 신설되고, 사물인터넷(IoT) 제품 보안인증 제도가 개편돼 정보통신망연결기기 정보보호인증이 시행될 예정이다.

7일 과학기술정보통신부가 발표한 새해 달라지는 정보보호 제도와 지원 사업 10가지를 정리했다.


ICT 중소기업 대상 보안 솔루션, 클라우드보안 서비스 이용 지원 


정부는 국내 ICT 중소기업이 많은 피해를 경험하고 있는 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 ‘정보보호 컨설팅 및 보안제품 도입 지원’ 사업의 대상 기업을 300개에서 600개로, 지원 금액도 기업당 1000만원에서 1500만원으로 각각 확대한다.

또한 정보보호 전담인력이 부족해 보안제품을 운용할 수 없는 중소기업 670개를 대상으로 클라우드보안 서비스 이용 비용(최대 500만원 상당)을 신규 지원한다.


5G 핵심서비스 보안테스트 환경 본격운용


5G 5대 핵심서비스(스마트공장·자율주행차·스마트시티·디지털헬스케어·실감콘텐츠) 분야를 주축으로 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업해 보안기술을 검증하고 기기·플랫폼의 보안성을 테스트할 수 있는 ‘융합보안 리빙랩’을 전국 5개 지역에 본격 운용한다.

스마트공장은 스마트제조혁신센터(안산), 자율주행차는 군산 자동차융합기술원, 스마트시티는 부산 센텀기술창업타운, 디지털헬스케어는 원주의료기기테크노밸리, 실감콘텐츠는 안양 디지털콘텐트기업성장지원센터에 이달까지 모두 구축 완료한다. 중소기업은 예약을 거쳐 무료 이용할 수 있다.

이에 따라 보안위협 대응·예방이 절실히 요구됨에도 부족했던 관련 보안제품에 대한 안전성을 실증할 수 있는 도구와 공간이 마련됐다.



소프트웨어 개발단계 보안 지원…취약점 점검 서비스 신설


안전하지 않은 소프트웨어는 해킹 등 사이버위협·공격의 대상이 된다. 이로 인해 침해사고가 발생하면 국민의 소중한 개인정보 탈취, 기업의 주요 정보자산 유출 등과 같은 심각한 피해가 나타날 수 있다.

정부는 중소기업들의 보안 투자 여력이 부족해 안전한 소프트웨어(SW)를 만드는 데 어려움이 있다고 보고, 중소기업이 SW 개발 단계부터 보안을 적용할 수 있도록 SW 보안취약점 점검을 지원하기로 했다.

올해부터 중소기업 50곳을 시작으로 2022년 350곳, 2023년 700곳 등에서 고가의 취약점 진단도구를 이용할 수 있도록 SW보안 진단체계를 운영, 확대한다. 3년 동안 총 1100여개 기업을 대상으로 SW 개발보안 진단이 실시될 예정이다.


AI 기술 기반 보안기업 육성…매년 20개 선발해 지원


사이버공격이 대규모·지능화되면서 인공지능(AI)을 활용한 보안 제품·서비스 개발은 더 이상 미룰 수 없는 과제가 됐다. 하지만 많은 국내 정보보호 기업들이 인력, 예산 및 데이터 부족으로 상당한 부담을 느끼고 있는 실정이라는 업계 의견이 나오고 있다.

이에 정부는 AI 기반 보안 제품·서비스를 개발하고자 하는 기업을 매년 20개 선발해 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성하도록 지원한다. 또한 개발된 제품을 해외로 수출할 수 있도록 지원해 글로벌 경쟁력을 갖춘 기업을 육성한다.


사이버위협 빅데이터 개방·공유 확대


국내 산업계는 사이버보안 분야 AI 개발에 필요한 사이버위협 빅데이터 정보가 상대적으로 부족하다고 평가되고 있다. 데이터 구축에는 많은 시간과 비용이 소요돼 개별 중소·벤처기업들이 하기에는 부담이 크고 대규모 글로벌 기업에 비해 경쟁력을 확보하기도 힘들다.

이에 한국인터넷진흥원(KISA)에서 보안위협 정보 수집·공유는 물론 위협 빅데이터 구축과 분석, 활용을 위한 기반을 구축해 운영하고 있다. 대표적인 것이 사이버보안빅데이터센터다.


KISA는 보안위협 정보 수집 대상과 규모를 지속 확대하고 있는데, 올해에는 비대면·지능정보 서비스 분야를 확대해 분야별 위협정보 빅데이터를 약 10억건 확충할 예정이다. 이를 기반으로 수요기반 맞춤형 데이터셋을 구축·공유해 민간 보안 제품의 검증·연구 등에 적극 활용할 수 있도록 온라인 사이버위협 빅데이터 활용 환경을 제공한다.

정부는 오는 3월 우선 사이버보안빅데이터센터를 온라인 활용 환경으로 개방한 뒤 데이터셋 구축·검증을 거쳐, 오는 12월 사이버보안 분야 데이터센을 개방·공유할 계획이다.


디지털 취약계층 대상 내 PC 돌보미 서비스 확대


정부는 지난해 9월부터 디지털 뉴딜의 K-사이버방역 구축의 일환으로 전국민 인터넷PC를 대상으로 보안전문가가 원격에서 무료로 보안점검 해주는 ‘내 PC 돌보미 서비스’를 실시해왔다. 운영체제, SW 보안 업데이트, 해킹 프로그램 유무 점검·조치, 백신 미탐지 바이러스 제거 등 보안 점검·조치 서비스를 제공하고 있다.

올해부터는 특히 고령층, 장애인 등 정보보호 실천이 어려운 디지털 취약계층을 대상으로 직접 방문해 서비스를 제공하는 ‘찾아가는 보안점검 서비스’를 실시하는데 중점을 둔다. 아동·장애인 등 복지시설, 농어촌 등 복지단체, 경제적 취약 등 교육 사각 계층을 대상으로 서비스 신청 이전에 먼저 안내하고 현장 점검 서비스를 제공할 방침이다.

아울러, 기존 인터넷PC 중심의 보안점검 서비스에서 테블릿PC, 공유기 등 IoT기기로 보안점검 대상을 확대하고 보안점검 전문 인력도 증원(54명→84명, 55%↑)해 이용자들이 원하는 시간대에 불편 없이 서비스를 이용할 수 있도록 지원한다.


정보보호 제품 인증·평가 기준 완화


정보보호기업이 정부․공공에 백신, 방화벽 등 정보보호제품을 납품하기 위해서 정보보호제품 평가·인증(CC인증)을 필수적으로 받아야 한다. 신생기업의 경우 이같은 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움을 겪고 있다.

또 지난해 평가 수요 증가로 평가 적체가 심화됐다. 재인증시 간단한 보안패치만 하더라도 최초 평가에 준하는 평가(재평가)를 받아야 해 CC인증에 많은 기업부담이 있었다. 과기정통부는 이러한 정보보호기업의 부담을 경감하기 위해 CC인증 제도 손질을 검토해왔다.

그 결과 신생기업을 중심으로 CC인증제도 기본교육을 실시하고 기업이 자발적으로 보안취약점을 점검할 수 있도록 소스코드 자가진단 SW를 무상으로 이용할 수 있도록 지원하기로 했다.


현재 6개 CC인증 평가기관별로 분산적으로 이루어지는 평가자 양성을 통합해 한 곳에서 평가자 양성 교육을 지원(KISA)하고, 한 곳에서 원스톱으로 CC평가 현황정보를 볼 수 있도록 통합정보 안내사이트도 개설(KISIA)한다.

보안패치로 인한 기능변경은 재평가 대신 간단한 확인(변경승인)으로 대체해 기존 평가 대비(EAL2 기준) 비용은 기존 3000만원 대비 6분의 1 수준인 500만원, 기간은 절반 수준으로 대기기간 포함 약 9개월에서 약 3주 이내로 대폭 줄인다. 국내용 CC 인증서 유효기간도 3년에서 5년으로 확대해 평가부담을 경감하기로 했다.


중소기업 위한 ISMS-P 간편 인증 신설


현재 정보보호관리·개인정보보호관리체계(ISMS-P) 인증은 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계돼, 일정 정보보호체계를 가진 영세·중소기업이 ISMS 인증을 원해도 시간과 비용 부담으로 어려움이 있었다.

현재 이 인증을 취득하고 유지하는데 평균 연간 비용 2180만원, 인증 취득에 소요되는 기간은 5.5개월이 필요하다고 정부는 분석했다.

이에 따라 영세·중소기업 규모에 적합하도록 정보보호 관리 활동에 필수적 요소를 마련, 영세·중소기업이 자발적 정보보호 수준 향상 활동을 높이고 정보보호 사각지대를 해소할 수 있도록 경량화한 ‘ISMS-P 간편 인증’ 제도를 신설 준비에 들어간다.

인증 기준이 간소화됨에 따라 인증심사에 소요되는 비용과 시간을 30% 이상 경감할 수 있을 것으로 정부는 기대하고 있다. 기대효과로는 인증 비용 절감 2180만원에서 1526만원으로, 인증 기간 단축은 4개월로 한 달 반 정도 단축될 것으로 예상하고 있다.

이 제도는 올해 ISMS-P 간편 인증기준 수립과 법령 개정을 준비, 진행해 내년 초 인증제도 운영 체계 개편과 안내를 거쳐 본격 시행한다는 방침이다.


데스크톱형 클라우드서비스 보안인증 본격 시행


행정․공공기관은 내부망·인터넷망의 분리를 위해 행정업무용 PC와 인터넷용 PC 등 2대를 별도로 운영해 비용, 관리상의 비효율이 존재했다. 이에 정부는 지난해 개방형 운영체제(OS) 도입 정책을 마련해 시행하고, 점차 확대할 계획을 밝혔다.

정부는 공공기관에서 인터넷전용 PC를 따로 둘 필요 없이 공공기관 보안요구사항이 적용된 안전한 인터넷용 가상PC를 이용할 수 있도록 기존 클라우드 보안인증제 대상 분야에 서비스형데스크톱(DaaS)을 추가해 시행한다.

개방형OS 도입 정책에 따라 공공 부문에서 망분리 방식으로 사용하기 시작한 민간 DaaS에 대한 보안 우려를 해소할 방안을 마련한 것이다.

DaaS는 데스크톱 구현에 필요한 OS, 각종 업무용 애플리케이션(앱) 등을 클라우드 방식으로 제공하는 서비스이다.


IoT 제품 보안인증 제도, ‘정보통신망연결기기 정보보호인증’으로 개편


디지털 헬스케어, 자율주행차, 스마트 홈·가전, 스마트시티 등 산업 전반에 정보통신 융합 가속화로 일상생활에서 정보통신망에 연결되는 기기·설비·장비가 늘어나고 있다. ‘정보통신망연결기기 등’의 침해사고는 국민의 생명·신체·재산에 큰 피해로 이어질 수 있어 정보통신망연결기기에 대한 정보보호가 절실히 요구되는 상황이다.

이에 정부는 ‘정보통신망연결기기 등’의 범위를 8개 분야로 규정하고, 정보통신망의 안정성을 확보하는 보호조치를 마련한다. 규정된 8개 분야는 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신이다.

구체적으로 기존 ‘IoT 보안인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편해 올해 하반기부터 시행한다. 이와 관련 인증시험대행기관 지정, 인증기준과 절차 마련 등 세부 인증체계를 구축할 계획이다.

과기정통부 손승현 정보보호네트워크정책관은 “코로나 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network