규제 허문 공공보안 시장…혁신보안 기술 '마중물' 기대

등록 2022.11.22 15:29:14

'정보보호 신속확인제' 시행…기준 없는 혁신제품에 인증

인증 기간 최대 두달…정부, 사전준비 위한 컨설팅·비용 지원

[서울=뉴시스] 김정삼 과학기술정보통신부 국장은 22일 '정보보호제품 신속확인제' 설명을 위한 기자간담회에 참석했다. (사진=심지혜 기자) 2022.11.22

[서울=뉴시스]심지혜 기자 = # 카인드소프트는 아이디, 패스워드에 이어 생체인증, 일회용비밀번호(OTP) 등 멀티인증과 함께 다중사용자 접속관리, 비정상 PC로그인 실시간 확인, 데이터베이스(DB) 위변조 방지가 가능한 블록체인 기반 ‘카인드 로그바이서’를 출시했다.

블록체인으로 보안성을 강화했지만 다중로그인 제품이 기존 유형에 없어 공공 시장 진출에 어려움이 있었다. 그러다 이달부터 시행된 ‘정보보호제품 신속확인제‘를 통해 빛을 볼 수 있게 됐다.

세계 최초의 데이터 플로우 기반 제로트러스트 통신 제어 솔루션 또한 이번 제도의 혜택을 받게 됐다. 이는 프라이빗테크놀로지의 ’프라이빗커넥트‘로 글로벌에서 인정 받는 제로트러스트 보안을 활용한 혁신 제품이다.

구간암호화 제품군으로 기존과 다른 소프트웨어 정의 경계(Software-Defined Perimeter, SDP) 제품으로 특정 네트워크 영역 및 특정 응용프로그램에 대한 접속 권한을 일일이 부여함으로써 미리 정의된 정책을 기반으로 사용자 인증 및 권한 부여를 수행한다.

과학기술정보통신부와 한국인터넷진흥원은 22일 간담회를 열고 이달부터 시행된 '정보보호제품 신속확인제'에 대해 설명했다.

신속확인제도는 기존 인증제도에서 평가기준이 없는 신기술 및 융·복합제품의 공공시장 진입을 위해 취약점 점검과 소프트웨어 보안약점 진단 등 간단한 점검을 통해 인증을 해주는 제도다.

그동안 국내 기업들은 국가용 보안 요구사항을 반영한 공통평가기준(CC) 인증제도 등을 통해서만 국가·공공기관에 납품할 수 있었다. 반면 국가용 보안요구사항이 정해지지 않는 혁신제품은 복잡한 검증제도를 거쳐야만 도입이 가능했다.

정부는 이번 제도를 통해 현장의 이같은 어려움을 반영하고 정부·공공기관의 혁신 제품을 도입한다는 계획이다. 신속확인 대상은 CC인증, 보안기능 확인서, 성능평가 등 기존 인증제도에서 국가용 보안요구사항 또는 국가용 보호프로파일이 마련돼 있지 않아 평가할 수 없는 경우에 해당한다. 제품의 형태가 있어야 하고 정보보호 기능을 갖춰야 한다.

일례로 ▲디도스 대응장비(DDoS)나 소스코드 보안약점 분석도구 ▲클라우드 기반 시큐어코딩 제품, 스마트홈 제품 ▲하이퍼바이저 제품, 나스(NAS) 제품 등은 기존 제도로 평가할 수 있어 불가능하다.

[서울=뉴시스] 과학기술정보통신부는 신기술 및 융·복합제품의 적시 도입을 위한 '정보보호제품 신속확인제'를 11월부터 시행했다. (사진=과기정통부) 2022.11.22

특히 이번 제도의 강점은 신청서 제출 이후 확인서를 발급하는 데까지 기간이 예측 가능하다는 데 있다. 예상 발급 기간은 한 달 반에서 두 달 가량이다.

기업은 대상 여부를 검토하고 보안 점검, 기능 시험 등의 사전 준비 과정을 거쳐 신속확인을 신청하게 된다. 그러면 서류 사전 검토(1주)를 거쳐 심의위원회(4~6주)가 이를 심의·의결한다. 심의 결과가 '적합'인 경우 확인서가 발급된다. 유효기간은 2년이다.

김정삼 과기정통부 국장은 "기존 제도로는 인증하기 어려운 새로운 유형의 혁신 제품이 다양하게 생겨날 것으로 기대한다"며 "특히 이번 인증은 자본 부족으로 인증에 부담을 가진 스타트업에게 수혜가 될 것으로 기대한다"고 말했다.

최광희 KISA 본부장은 "기존에는 많은 절차가 요구돼 기업 입장에서 부담이 크고 예측이 어려웠다"며 "반면 이 제도는 기업 스스로가 필요한 사항을 선택해서 준비하면 되는 데다 신청만 하면 심의가 이뤄져 '투명성'이 높아졌다"고 강조했다.

다만 이 제도만으로는 조달청 수의계약은 불가능하다. GS인증, CC인증 등을 받아야 하는 기준이 있기 때문.

김 국장은 "조달청에서 인정하는 제도를 받아야만 가능한데, 이는 기획재정부와 조달청과 협의가 필요한 부분이라 당장은 어렵다"며 "다만 신속확인제 절차 중 '제품 기능 설명서'는 GS인증으로 대체할 수 있다"고 설명했다.

아울러 기존 제도에서 신속확인 제품에 대한 평가기준이 마련될 경우, 신속확인의 연장은 불가능하다.

김 국장은 "혁신 기술에 대한 정식 인증 기준 마련은 이질적인 게 아닌 취약점을 점검하기 위한 것으로 신속확인제를 통과했다면 새 기준도 쉽게 통과할 수 있을 것"이라며 "받아 놓은 신속인증제 유효 기간이 남았다면 새 인증을 받을 때까지 효과가 있다"고 말했다.

정부는 신속확인제 활성화를 위해 신청시 취약 점검과 SW보안약점 진단, 기능시험 등 사전 준비를 할 수 있는 컨설팅과 비용을 지원한다는 방침이다. 아울로 우수 정보보호 기술 지정 등 정부 지원 사업에서 신속 확인제품에 대해 가점을 부여하고 정보보호제품 범위에 포함할 계획이다.

김 국장은 "새로운 제품에 대한 평가 기준이 없어 혁신의 모멘텀이 부족했다"며 "신속확인제는 정보보호 업계의 가장 획기적 성과 중 하나로 혁신 시장 창출을 위해 정부뿐 아니라 민간에서도 적극 나서달라"고 당부했다.

김선미 KISA 팀장은 "10여 곳의 기업으로부터 신속확인제 대상과 관련해 문의가 왔는데 이 중 3곳 정도가 이번 제도 인증을 준비하고 있다"고 덧붙였다.

◎공감언론 뉴시스 [email protected]