새해 달라지는 '정보보호' 제도·사업은?

과학기술정보통신부는 ▲ICT 중소기업 정보보호 안전망 확충 ▲정보보호제품 평가․인증 부담완화 ▲정보보호관리체계(ISMS) 간편 인증 신설 등 새해 달라지는 정보보호 제도와 지원 사업의 주요 내용을 7일 발표했다.

■정보보호 컨설팅 지원 중소기업 300→600개로

정부는 ICT 중소기업이 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 ’정보보호 컨설팅 및 보안제품 도입 지원’ 사업 대상 기업을 300개에서 600개로 확대하고, 지원 금액을 기업 당 1천만원에서 1천500만원으로 확대한다.

정보보호 전담인력이 부족해 보안제품을 운용할 수 없는 중소기업에 대해서는 670곳을 대상으로 클라우드 보안 서비스 이용 비용 최대 500만원을 신규 지원한다. 클라우드 보안 서비스는 월 구독형으로 실시간으로 이메일 보안, 악성코드 탐지 등 보안 조치를 제공받을 수 있다.

■5G 서비스 보안 기술 실증 센터 운영 시작

스마트 공장, 자율주행차, 스마트시티, 디지털헬스케어, 실감 콘텐츠 등 국민 생활과 밀접한 5G 5대 핵심 서비스가 각광받고 있다. 반면 분야별 보안위협 대응·예방이 요구되고 있음에도 관련 보안제품에 대한 안전성을 실증할 수 있는 도구 및 공간이 부족한 상황이다.

이에 따라 정부는 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업해 보안 기술을 검증하고 기기, 플랫폼의 보안성을 테스트할 수 있는 ‘융합보안 리빙랩’을 전국 5개 지역에 본격 운용한다.

스마트공장은 안산 스마트제조혁신센터, 자율주행차는 군산 자동차융합기술원, 스마트시티는 부산 센텀기술창업타운, 디지털헬스케어는 원주의료기기테크노벨리, 실감콘텐츠는 안양 디지털콘텐트기업성장지원센터에서 리빙랩을 이용할 수 있으며, 중소기업은 무료 이용 가능하다.

■SW 개발 단계서 '보안' 잡는다…취약점 점검 서비스 신설

정부는 중소기업의 경우 보안 투자 여력이 부족해 안전한 소프트웨어(SW)는 데 많은 어려움이 있다고 판단, 중소기업이 소프트웨어 개발 단계부터 보안을 적용할 수 있도록 SW 보안 취약점 점검을 지원한다. 

오는 3월부터 50곳을 지원하고, 내년 350곳, 2023년에는 700곳을 지원해 총 1천100여개 기업을 지원할 방침이다. 

SW 개발보안 전문 인력 양성 교육 과정도 5월부터 운영한다. 6월부터는 취약점 진단도구와 진단 전문가가 상주해 SW 보안 취약점 점검을 지원하는 'SW개발보안 진단체계'를 운영할 계획이다.

■AI 보안 기업 육성…매년 20개 기업 제품 개발·수출 지원

정부는 인공지능(AI) 기반 보안에 대한 시장 수요가 높지만, 보안업계가 AI 보안 기술 개발에 따르는 시간, 비용 등이 상당해 부담을 느낀다는 현장 의견을 청취했다.

이에 AI 보안 제품, 서비스를 개발하고자 하는 기업 20곳을 매년 선발해 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성할 수 있도록 지원한다. 개발된 제품은 해외로 수출될 수 있도록 지원할 계획이다.

■'사이버위협 빅데이터' 온라인 개방…10억건 구축

정부는 사이버 보안 분야 AI 개발에 필요한 빅데이터 정보가 부족해 중소·벤처 기업이 시장에 뛰어들기 어려운 상황이라고 봤다. 한국인터넷진흥원(KISA)에서 '사이버보안빅데이터센터를 운영하고 있지만, 직접 방문해야 빅데이터 플랫폼을 이용할 수 있다는 한계점이 있었다.

이에 따라, 보안위협 정보의 수집 대상과 규모를 비대면·지능정보 서비스 분야까지 추가로 확대해 분야별 위협정보 빅데이터를 10억건 가량 확충한다는 계획을 세웠다. 

이를 기반으로 수요 기반 맞춤형 데이터셋을 구축, 공유해 민간 보안 제품의 검증 및 연구 등에서 활용될 수 있도록 온라인 사이버위협 빅데이터 활용 환경을 제공한다. 

우선 3월 사이버보안빅데이터센터를 온라인 활용 환경으로 개방 후, 데이터셋 구축 및 검증을 거쳐 오는 12월 이를 개방, 공유할 계획이다.

■디지털 취약 계층에 직접 찾아가 'PC 보안 점검' 제공 

코로나19 지속으로 언택트 쇼핑, 게임, 교육 등 온라인 활동이 증가했다. 해킹에 의한 개인정보 탈취 등 사이버 공격 위협도 함께 증가하고 있다.

정부는 지난해 9월부터 국가 발전 전략의 핵심축 중 하나인 '디지털 뉴딜' 중 'K-사이버방역' 구축의 일환으로 전국민 PC를 원격에서 무료로 보안점검 해주는 '내 PC 돌보미 서비스'를 실시 중이다.

새해부터는 특히 고령층, 장애인 등 정보보호 실천이 어려운 디지털 취약계층을 대상으로 직접 방문해 서비스를 제공할 예정이다. 

아울러 기존 인터넷PC 중심의 보안점검 서비스에서 테블릿PC, 공유기 등 IoT 기기로도 보안점검 대상을 확대하고 보안점검 전문 인력도 54명에서 84명으로 증원한다.

■정보보호 제품 인증·평가 기준 완화

보안 기업이 공공기관에 백신, 방화벽 등 정보보호 제품을 납품하기 위해선 정보보호제품 평가․인증(CC인증)을 필수적으로 받아야 한다. 그러나 신생 기업은 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움을 겪고 있다.

지난해의 경우 평가 수요가 많아 평가 적체가 심화된 바 있다. 또한 재인증 시 간단한 보안 패치만 해도 전면 재평가를 받아야 해 CC인증에대한 기업 부담이 높았다.

이런 부담을 경감하기 위해 정부는 신생 기업을 중심으로 CC인증 제도 기본교육을 실시한다. 기업이 자발적으로 보안 취약점을 점검할 수 있도록 소스코드 자가진단 SW도 무상 이용할 수 있게 지원한다.

현재 6개 CC인증 평가기관별로 분산적으로 이뤄지는 평가자 양성도 통합, KISA 한 곳에서 평가자 양성 교육을 지원한다. 한국정보보호산업협회(KISIA)가 CC평가 현황 정보를 볼 수 있도록 통합정보 안내사이트도 개설, 운영할 예정이다.

보안 패치로 인한 기능 변경의 경우 재평가 대신 간단한 확인(변경승인)으로 대체해 기존 평가 대비 비용은 6분의 1 수준인 500만원으로, 기간은 12분의 1 수준인 3주 이내 정도로 줄어들 것으로 전망했다. 아울러 국내용 CC 인증서 유효기간을 3년에서 5년으로 확대해 평가부담을 경감한다.

■중소기업용 'ISMS-P' 간편 인증 생긴다

현재 정보보호 및 개인정보보호 관리체계(ISMS) 인증은 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계돼 있다. 이에 일정 정보보호 체계를 가진 영세·중소기업이 인증을 원해도 시간과 비용부담으로 어려움이 있었다.

이에 정부는 영세·중소기업 규모에 적합하도록 정보보호 관리 활동에 필수적 요소를 마련, 영세·중소기업이 자발적 정보보호 수준 향상 활동을 높이고, 정보보호 사각지대를 해소할 수 있도록 경량화한 ISMS-P 간편 인증 제도를 신설한다.

기준을 간소화한 간편인증이 마련됨에 따라 정부는 인증 심사에 소요되는 비용과 시간을 30% 이상 경감할 수 있을 것으로 기대했다.

■DaaS 보안 인증 시행…공공기관 논리적 망분리 지원

행정·공공기관은 내부망, 인터넷망의 분리를 위해 행정업무용 PC와 인터넷용 PC를 별도 운영해 비용, 관리상의 비효율이 존재했다.

이에 공공기관에서 인터넷용 PC를 따로 둘 필요 없이, 공공기관 보안요구사항이 적용된 안전한 인터넷용 가상PC를 이용할 수 있게 보안 인증 제도를 개선했다. 

정부는 이달부터 기존 클라우드 보안인증제 대상 분야에 서비스형데스크톱(DaaS)을 추가해 시행한다. DaaS는 데스크톱 구현에 필요한 운영체제(OS), 각종 업무용 애플리케이션(앱) 등을 클라우드 방식으로 제공하는 서비스다.

■'IoT 보안 인증' 개편…기기 특성 따져 평가

정부는 IoT 기기 범위를 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등 8개 분야로 나눠 보호 조치를 마련한다.

관련기사

구체적으로 기존 ‘IoT 보안 인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편, 올해 하반기부터 시행한다. 인증시험대행기관 지정, 인증기준 및 절차 마련 등 인증체계를 구축할 예정이다.

손승현 과기정통부 정보보호네트워크정책관은 “코로나 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다.”라고 밝혔다.