내년 상반기에 신속확인제를 통해 보안 인증을 받은 첫 정보보호 제품이 나올 전망이다. 정부는 신속확인제를 통해 그동안 평가기준이 없어 공공부문 진입이 어려웠던 신기술 및 융·복합제품의 다양한 개발을 독려, 신규 보안 위협에 대응하고 정보보호 산업 혁신을 유도한다는 계획이다.
과학기술정보통신부는 22일 신속확인제 시행 관련 기자간담회를 개최하고, 신속확인제 가능 사례를 소개했다.
신속확인제는 CC인증 등 기존 인증제도에 평가기준이 없는 신기술 및 융·복합 제품의 공공시장 진입을 목표로 만든 제도로 11월부터 본격 시행됐다. 신기술 및 융·복합 제품에 대해서 취약점 점검, 소프트웨어 보안 약점 진단 및 기능 시험 결과를 바탕으로 신속하게 보안성 등을 심의한다.
신속확인 신청부터 확인서 발급까지 약 1.5~2개월이 소요돼, 기존 보안 인증보다 심의 기간이 짧은 것이 특징이다.
과기정통부 김정삼 국장은 "그동안 새로운 기술이 적용된 혁신적인 제품이 평가 기준이 없어 도입이 지연되다 보니 새로운 보안 위협에 대응하지 못하고, 산업계에 혁신을 유도하는 데도 한계가 있었다"며 "올 한 해를 돌아봤을 때 가장 획기적으로 도입한 새로운 제도는 신속확인제이며, 해당 제도의 가장 큰 수혜는 스타트업이 받게 될 것"이라고 말했다.
김 국장은 "스타트업들은 보안 인증을 받는 데 돈도 많이 들고, 시간도 많이 들어 큰 부담이 있었다"며 "초기에는 스타트업 위주로 신속확인 신청이 많이 들어올 것으로 보인다"고 말했다.
신속확인 심의위원회는 과기정통부가 위촉하며, 한국인터넷진흥원(KISA)이 신속확인기관으로 신속확인제도를 운영하고 신속확인서를 발급한다.
신속확인제는 기존 제도에 해당 제품의 평가 기준이 마련되기 전까지 운영된다. 신속확인 제품에 대해 기존 제도에서 평가기준이 마련되면, 신속확인의 연장은 불가능하고 유효기간 만료 후 종료된다. 그전까지 기업은 신속확인서 유효 기간을 횟수 제한 없이 연장할 수 있다. 신속확인서 유효 기간은 2년이며, 연장은 만료 2개월 전 신청할 수 있다.
신속확인을 받은 제품은 공공기관 3그룹 중 중앙행정기관, 외교·안보 관계기관 등 '가' 그룹을 제외한 '나', '다' 그룹에서 도입할 수 있다. '가' 그룹 기관도 도입 이후에 국정원 보안적합성 검증을 받으면 운용이 가능하다.
이날 한국정보보호산업협회(KISIA) 산업지원단 정호준 산업기반팀장은 신속확인제가 가능한 사례를 발표했다. 신속확인을 준비하고 있는 제품으로는 ▲프라이빗테크놀로지의 '프라이빗커넥트'와 ▲카인드소프트의 '카인드 로그바이저'가 소개됐다.
프라이빗커넥트는 클라우드 또는 인트라넷, 시스템에 접속할 수 있는 데이터 플로우 기반 제로트러스트 통신 제어 솔루션이다.
기업의 네트워크 보안 정책은 TCP/IP 기반의 IP/Port 중심의 보안 정책에서 IT시스템에 접속한 어떤 사용자나 단말기도 신뢰하지 않는 '제로 트러스트' 보안 정책으로 점차 옮겨가고 있다.
프라이빗커넥트는 이러한 제로트러스트 보안 신기술을 바탕으로 한 단말에 설치된 애플리케이션 단위 통신 제어 솔루션으로, 현재 신속확인을 받기 위해 준비 중이다. 구간암호화 제품군으로서 기존에 CC인증이 가능했던 가상사설망(VPN)과 다른 SDP 제품으로, 특정 네트워크 영역 및 특정 응용프로그램에 대한 접속 권한을 일일이 부여함으로써 미리 정의된 정책을 기반으로 사용자 인증 및 권한부여를 수행한다. 프라이빗커넥트는 과기정통부 2022년 우수정보보호기술로 선정되기도 했다.
카인드로그바이저는 멀티인증(생체정보, OTP, NFC), 다중사용자 접속 관리, 비정상 PC 로그인 실시간 확인, DB 위변조 방지가 가능한 블록체인 기반의 다계층 PC 로그인 보안 솔루션이다.
해당 솔루션 역시 다중로그인이라는 새로운 유형의 혁신제품으로, 현재 신속확인을 받기 위해 준비 중이다.
과기정통부는 오는 24일 '2022년 정보보호산업인의 밤' 행사와 연계해 '신속확인제 도입을 통한 안전한 미래 구축 컨퍼런스'를 개최하고, 정부 지원 사업 또는 스타트업 등과의 민관협력을 통해 신기술 정보보호제품을 지속적으로 발굴할 계획이다. 특히, 신속확인제 1호 제품은 홍보도 적극 추진할 예정이다.
신속확인제는 이달 1일부터 시행됐다. KISA에 따르면 아직 신속확인제를 신청한 기업은 없으며, 내년 1분기 또는 늦어도 상반기 내에 신속확인을 받는 제품이 나올 것으로 예상된다.
관련기사
- 11월부터 정보보호제품 신속확인제…발급까지 2개월 소요2022.10.18
- KISA, 암호모듈검증 시험평가 컨설팅 무료지원2022.07.12
- 과기정통부, 클라우드 보안인증 등급제 개편에 '신중'2022.11.14
- 파수, 'FDI 서밋 2022' 개최…제로트러스트 방향 공유2022.11.03
한국인터넷진흥원(KISA) 물리보안성능인증팀 김선미 팀장은 "현재 신속확인제를 문의한 기업은 10곳 정도 됐으며, 그중 3곳 정도가 신속확인을 준비 중이다"라며 "기존에는 평가 기준에 제품을 맞춰야 했는데, 신속확인제를 통해 신기술을 넣어 제품을 만들 수 있어 반가워하는 업계의 목소리가 많았다"고 말했다.
KISA 최광희 디지털보안산업본부장은 "신속확인제의 특징 중 하나는 투명성을 높인 것"이라며 "기존에는 기업들이 보안 인증 심사를 받을 때 그때그때 내부 자료가 요구되고 진행 절차를 예측하기 어려웠지만, 신속확인제는 기업 스스로가 준비해서 신청하면 심의만 이뤄지기 때문에 기존의 획일적인 평가제도가 자율적인 평가제도로 바뀌었다고 볼 수 있으며, 투명성을 높여 정보보호 제도 측면에서도 큰 변화를 가져온다고 본다"고 말했다.