평가기준이 없어 공공부문 진입이 어려웠던 신기술 및 융·복합제품에 대한 신속확인제가 다음 달 본격 시행된다. 신속확인제를 통해 신기술 정보보호제품의 공공도입이 촉진될 전망이다.
과학기술정보통신부는 18일 한국컨퍼런스센터에서 신속확인제 도입을 위한 산업계 의견 수렴 및 설명회를 개최했다.
이날 행사에 참석한 과기정통부 정보보호과 정은수 과장은 "최근 보안 위협이 지능화, 고도화되고 있지만, 신기술 제품이나 융합 제품에 대해서 평가하는 데 장기간 소요되고 있어 신속한 사이버위협 대응에 한계가 있다"며 "이를 해결하기 위해 국가기관에서 신속하게 제품을 공급받을 수 있게 신속확인제를 시행하기로 했다. 신속확인제를 통해 활로를 개척하고 기업들의 보안인증에 소요되는 기간과 비용을 절감해 정보보호산업이 한층 더 발전하는 계기가 되길 바란다"고 말했다.
한국인터넷진흥원(KISA) 물리보안성능인증팀 김선미 팀장은 이날 정보보호제품 신속확인제 신청 방법 및 운영절차 등을 설명했다.
■ 신속확인제란?
신속확인은 국가용 보안연구사항 또는 보호프로파일이 마련돼 있지 않아 평가를 수행할 수 없는 신기술 및 융·복합 제품에 대해서 취약점 점검, 소프트웨어 보안약점 진단 및 기능 시험 결과를 바탕으로 신속하게 보안성 등을 심의하는 것을 말한다.
지난 8월 과기정통부가 법적 근거를 마련했다. 과기정통부가 신속확인 심의위원회를 위촉하며, 한국인터넷진흥원이 신속확인기관으로 신속확인제도를 운영하고 신속확인서를 발급한다.
■ 신속확인 대상은?
CC인증 등 기존 보안인증제도에 평가기준이 없는 신기술 및 융·복합 제품이 대상이다. 제품의 형태여야 하며, 정보보호 기능이 반드시 있어야 한다.
빅데이터 분석을 활용한 지능형 통합보안 솔루션, 사이버 위협 정보를 활용한 이상패턴 감지 제품, AI 기반의 개인정보 비식별 솔루션 등이 신속확인 대상이다. 최근 주목받고 있는 제로트러스트 제품 또한 대부분 신속확인 대상에 해당된다.
기존 제도로 평가가 가능하거나 보안기능이 없는 제품은 신속확인 대상이 아니다. 예를 들어 DDoS 대응장비, 소스코드 보안약점 분석 도구는 국가용 보안요구사항이 있어 CC인증 또는 성능평가를 받으면 되기 때문에 신속확인 대상이 아니다.
클라우드 기반 시큐어코딩 제품, 스마트홈 제품은 기존 클라우드 보안인증제 또는 IoT 보안인증제가 가능하기 때문에 대상이 아니다.
하이퍼바이저 제품이나 NAS제품과 같이 주요 기능이 정보보호가 아닌 가상 머신, 저장장치 등도 대상에서 제외된다.
■ 신속확인 절차는?
신속확인 절차는 ▲대상여부 검토 ▲기업 사전준비 ▲신속확인 신청 ▲심의위원회 ▲신속확인서 발급, 5단계로 이뤄진다.
신청인이 제품 기능설명서를 제출하면 1~2주 안에 신속확인 대상여부를 검토해 검토 결과 통지서를 발급한다. 신속확인 대상이 됐다면, 신청인은 취약점 분석·평가, 소프트웨어 보안약점 진단을 하고 보안 기능 시험 등의 사전 준비를 한 후, 신속확인 신청서와 해당 결과를 제출한다. 보안기능 시험은 GS인증서로 대체 가능하다. 취약점 분석·평가 결과서와 소프트웨어 보안약점 진단 확인서는 6개월 이내에 발급받은 자료여야 한다. KISA에서 신속확인 서류를 검토하는 데는 1주가 소요된다.
이후 심의의원회에서는 안건을 상정하고 심의해 의결한다. 심의위원회 의결까지는 4~6주가 소요될 예정이다. 심의위원회는 월 1회 열리며, 월별 안건을 취합해 다음 달 같은 주차에 개최된다.
심의 결과 '적합'인 경우 신속확인서가 발급된다. 유효기간은 2년이며, 발급 사실은 홈페이지에 게시된다.
신속확인 신청부터 확인서 발급까지는 약 1.5~2개월이 소요될 전망이다.
■ 사후관리는?
신속확인 제품이 경미하게 수정된 경우나 신규 취약점 점검을 통해 발견된 취약점 조치, 부가기능의 일부 개선 및 추가, 제품의 구동환경 버전 변경 등의 경우는 변경승인이 가능하다. 단, 제품의 주요 기능 변경 시 변경 승인은 불가하며 신규로 다시 신청해야 한다.
제품에 변경이 없고, 기존 인증제도에 기준이 없는 경우 유효기간 만료 2개월 전까지 연장 신청이 가능하다. 기존제도에 제품의 보안 요구 사항이 있을 경우 유효기간은 연장할 수 없다.
신속확인 제품으로 판매된 제품 형상을 무단 변경하거나 신속확인기관으로부터 조치 요청을 받고 조치를 취하지 않았을 때는 신속확인서의 효력이 정지된다.
■ "신속확인만 받아도 조달청에 수의계약 가능하도록 협의"
이날 설명회에는 정보보호기업들이 참석해 현장에서 질의 응답하는 시간이 마련됐다.
관련기사
- 공공 보안인증 간소화…등급 나눠 '패스트트랙' 적용2022.08.16
- 과기정통부-KISA, 스마트공장에 현장 보안점검 지원2022.06.01
- KISA, 정보보호제품 성능평가·CC인증 컨설팅 제공2022.05.10
- KISIA, '신속확인제 도입 및 현장안착 설명회' 개최2022.10.12
한 기업 관계자는 "조달청에 수의대상 제품으로 들어가려면 CC인증 또는 GS인증을 받아야 하는데, 신속확인을 받으면 GS인증을 자동으로 받을 수 있게 하면 기업이 편할 것 같다"는 의견을 제시했다.
이에 박윤현 정보보호정책연구소장은 "국무총리실하고 규제개혁할 당시 신속확인만 받아도 사실상 수의계약이 되도록 추진했으나 아직 여러 가지 사정으로 받아들여지지 않은 상황으로, 현재는 GS인증을 추가로 받아야만 조달청에 수의계약이 가능하다"며 "신속확인만 받아도 조달청에 수의계약할 수 있는 방안을 숙제로 생각하고 협회, KISA, 과기정통부와 같이 협의해 나가도록 하겠다"고 말했다.