공공 기관이 빠르게 진화하는 해킹 공격에 대응해 최신 보안 기술을 도입할 수 있도록, 정부가 정보보호제품 인증 규제를 대대적으로 손본다. 요구되는 보안 수준별로 공공 기관을 가·나·다 3개 등급으로 나누고, 적용하는 인증을 달리한다는 게 골자다.
가급 기관에는 기존대로 엄격한 CC인증이 적용되지만, 나·다급 기관은 간소화된 인증인 '패스트트랙'을 적용할 수 있게 했다. 신설된 패스트트랙을 통해 공공 기관도 클라우드, 양자암호 등 최신 기술이 적용된 보안제품을 신속하게 도입할 수 있게 됐다.
16일 정부 관계 부처와 보안 업계에 따르면 국가·공공 기관이 도입하는 보안 제품의 안전성을 검증하는 '보안적합성 검증제도'가 이같이 개선된다.
현행 제도에서 모든 국가·공공 기관은 '국가용보안요구사항'을 만족한 보안 제품을 도입해야 한다. 국가용보안요구사항에 맞춘 보안 제품에는 'CC인증'이나 '보안기능확인서'가 부여된다.
문제는 국가용보안요구사항이 아직 만들어지지 않은 신기술, 신제품은 국가·공공 기관이 도입할 수 없다는 데 있다. 보안요구사항을 만들고 이를 인증 시험에 반영하기까지 절차가 복잡하고 오래 걸려, 빠르게 진화하는 해킹 위협에 시의적절하게 대응하기도 어렵다.
한 정부 관계자는 이번 제도 개선 추진 배경에 대해 "보안위협은 급변하고 있는데 이에 대응하는 새로운 보안기술은 평가기준이 없어 도입하지 못하고 있다"며 "보안성을 높이기 위한 규제가 오히려 취약성을 키우고 있다는 지적이 높았다"고 설명했다.
이에 이번 제도 개선은 공공 기관도 클라우드, 양자암호, 모바일 관련 최신 기술이 적용된 보안제품을 신속하게 도입해, 사이버위협 대응력을 높이는 데 초점을 맞췄다.
국가정보원, 과학기술정보통신부 등 관계부처는 국가·공공 기관을 가·나·다 3개 등급으로 나누고 요구되는 보안 수준별로 다른 인증을 적용하기로 협의를 마쳤다. '가급'에는 중앙 정부와 주요 기관이 포함되고, '나급'에는 지차제, '다급'에는 학교와 위원회가 포함될 것으로 알려졌다.
최고수준의 보안성·안정성이 유지돼야 하는 가급 기관은 기존처럼 CC인증, 보안기능확인서 등 엄격한 인증을 획득한 제품을 도입하도록 했다. 반면, 나·다급 기관은 패스트트랙과 정보보호 성능평가제도를 통과한 제품도 도입할 수 있게 했다.
관련기사
- 윤석열 정부 5년, '사이버보안' 국가 경쟁력 확 커질까2022.07.15
- 尹 정부, 사이버보안 인재 10만명 키운다2022.07.13
- 국내 사이버보안 빅3, '클라우드'에 미래 걸었다2022.04.28
- 국정원, 주요기관 특별 사이버보안 점검...우크라 사태 계기2022.03.26
패스트트랙은 공공 기관이 보안 신기술을 사용할 수 있도록 이번에 새롭게 만든 인증제도다. CC인증과 별개로 운영되며, CC인증에서 해당 기술에 대한 평가기준이 만들어지기 전에 한시적으로 허용하는 역할을 하게 된다. CC인증 기준이 만들어지는 데 시간이 지체될 경우 패스트트랙 인증 유효기간을 연장해줘, 기관이 계속 해당 제품을 사용할 수 있게 할 계획이다.
이 정부 관계자는 "이번 제도 개선으로 공공 기관이 혁신적인 보안 기술을 빠르게 도입할 수 있게 될 것으로 기대되며, 보안 스타트업들도 공공 시장에 더 빠르게 진입하게 되는 반사효과를 볼 것으로 보인다"고 전망했다.