정보보호 제품을 평가하는 제도인 국내 '공통평가기준(CC)인증'에 대한 보안업체 부담이 완화될 예정이다.
CC인증을 획득한 제품이더라도 소프트웨어(SW) 보안 패치를 하게 되면 인증을 재획득해야 했지만, 이를 보다 간단한 '변경승인'으로 대체하기로 했다.
보안 패치가 적용되면 제품의 형상이 변경된 것으로 간주, 재평가를 받아야 한다는 것이 규제기관의 입장이었다. 그러나 제품의 기능이나 설계 상에는 큰 변경사항이 없는데도 CC인증 획득 절차를 처음부터 새로 밟아야 해 업계 불만이 존재했다.
CC인증 재획득 대신 변경승인을 받을 수 있게 되면 처리 비용과 시간이 대폭 감소할 전망이다. CC인증 재획득을 위해서는 평균적으로 4천만원의 비용이 소요되고, 걸리는 시간도 약 1년 정도로 길었다. 변경승인의 경우 필요한 비용과 시간이 약 500만원에 3주 가량으로 줄어든다.
30일 CC인증 정책기관인 과학기술정보통신부 관계자는 '공개용 SW(오픈소스) 보안 패치로 인한 기능변경'에 대해 인증 재평가 대신 변경승인으로 대체해주는 국내 CC인증 제도 개선책을 두고 관계기관과 협의했다고 밝혔다.
이를 위해 과기정통부는 국내 CC인증 수행규정을 수정할 방침이다.
국내 CC인증 제도에서 변경승인을 허용해주는 경우는 ▲하드디스크, 램 등 하드웨어 상의 사양변경 ▲오픈SSL·오픈SSH의 기능 변경 등 두 가지였다. 여기에 보안 패치를 추가하게 되는 것이다.
과기정통부 관계자는 "CC인증 획득 이후에 SW 보안 패치를 해도 형상변경으로 간주해 재평가를 받아야 해서 기업 부담이 가중됐다"며 "재평가를 피하기 위해 보안 패치를 하지 않거나, 무단 변경하는 등의 부작용이 발생해왔다"고 설명했다.
그 외 개인정보보호책임자(CPO, 개인정보처리자)와 정보보호최고책임자(CISO)간 겸직금지 규정 폐지 등 CISO 제도 개선 계획도 확정했다.
CISO 지정, 신고 의무 대상 기준도 개정한다. 현재는 중기업 이상 정보통신서비스제공자, 자본금 1억원 이하 부가통신사업자를 제외한 전기통신사업자, 정보보호관리체계(ISMS) 인증 대상인 정보통신서비스제공자로 규정돼 있다. 이를 준수하지 않을 경우 최대 3천만원의 과태료가 부과된다.
관련기사
- [기고] 안전한 디지털 기반 위해 통신·장비 보안인증 확대와 국제표준 준수 필요2020.07.01
- 행안부, 전체 공공 사이트에 HTTPS 도입 검토2020.10.27
- 공공기관, 보안 허점 방치…책임자가 없다2020.10.14
- 경기도, 공문서 'HWP'로 안 쓴다..."웹 표준화 추진"2020.10.12
이 관계자는 "단순 홍보용 홈페이지 보유 음식점 등 정보보호 실익이 적은 중기업까지도 의무신고 대상에 포함되는 문제를 개선하기 위해 홈페이지 일일 이용자 수 등을 기준으로 중기업 신고대상을 정비할 예정"이라고 밝혔다.
과기정통부에 따르면 현재 CISO 지정, 신고 의무 대상 3만5천곳 중 2만3천곳이 CISO를 신고한 상태다. 정부는 CISO 신고 의무를 위반한 대기업, 중견기업 444곳에 4개월 내로 CISO 신고 시 과태료를 처분하지 않겠다는 행정처분 사전안내를 이달부터 실시했다고 밝혔다. 중기업의 경우 CISO 지정, 신고 의무 대상을 정비 후 대상에 포함되는지를 판단해 과태료를 부과할 계획이다.
