클라우드 기반 DaaS 서비스의 안전한 활용 위해 ‘국가·공공기관 개방형 OS 활용 보안 가이드라인’ 마련
과기정통부, 공공분야 IoT 보안인증 제품 구매 촉진위해 LH공사 등 IoT 제품 수요처들과 협력 중
[보안뉴스 원병철 기자] 정보보호 산업 활성화와 신기술 및 신시장 창출을 위해 정부가 마련한 ‘제2차 정보보호산업 진흥계획’이 발표(6월 22일, 정보통신전략위원회)된 지 벌써 2개월이 지났다. 정보보호산업법 제5조에 따라 수립된 제2차 정보보호산업 진흥계획은 2021년부터 2025년까지 5년 동안 클라우드, 블록체인, 생체인식 등 신기술을 활용해 정보보호 신시장을 창출하는 것을 목표로 하고 있기에 계획이 얼마나 잘 시행되느냐에 따라 정보보호 산업의 미래가 바뀔 수 있다. 이에 <보안뉴스>는 제2차 정보보호산업 진흥계획의 핵심인 10대 중점 추진계획을 살펴보고 하나씩 진단하는 시간을 마련했다.
[이미지=utoimage]
3대 목표 달성 위해 ‘3대 주제, 10대 중점 추진과제’ 수립
정부는 이번 제2차 정보보호산업 진흥계획을 통해 ①산업규모 20조원 ②300억 이상 매출 기업 100개 ③일자리 16만 5,000명 창출 등 3대 목표를 달성할 계획이다. 이를 위해 △디지털 전환에 따른 정보보호 신시장 진출 △민간 주도 사이버 복원력 확보를 위한 투자지원 확대 △지속성장 가능한 정보보호 생태계 조성 등 3대 주제를 근간으로 10대 중점 추진과제를 만들었다.
10대 중점 추진과제는 ①비대면 서비스 관련 보안시장 활성화 ②정보보호 데이터 활용기반 조성 ③AI 기반 물리보안 산업 육성 ④5G+ ICT 융합보안 산업 저변확대 ⑤공공 및 민간 분야 정보보호 투자 확대 ⑥정보보호기업 성장 지원 ⑦정보보호기업 해외진출 및 국제협력 강화 ⑧차세대 보안 신기술 확보 ⑨정보보호산업 규제 및 법·제도 개선 ⑩정보보호 전문인력 양성 등 3대 주제를 실현할 수 있는 실천방안 중심으로 이뤄졌다.
비대면 서비스 관련 보안시장 활성화
그중 첫 번째인 ‘비대면 서비스 관련 보안시장 활성화’는 코로나19로 인해 경제 사회 전반에서 대면 접촉을 최소화하기 위해 클라우드 기반의 ‘디지털 언택트(Untact) 환경’으로 전환되면서 급부상한 재택근무, 온라인 교육, 온라인 유통 등 디지털 기반의 비대면 산업의 보안을 강화하기 위해 마련됐다.
정부는 전 세계 클라우드 보안 시장이 기술력과 규모의 경제를 앞세운 글로벌 기업의 선점으로, 후발주자인 국내 기업의 경쟁력 확보에 애로가 있기 때문에 국내 클라우드 보안산업 육성을 위해 공공부문의 우선 주도를 통해 경쟁력을 강화하고 민간 확산을 통한 시장 활성화가 필요하다고 판단했다.
이에 정부는 △안전한 비대면 환경 조성을 위한 시범사업 및 공공선도 △비대면 성장기반 마련을 위한 수요기업 지원으로 이용 활성화 △비대면 솔루션, 보안 공급기업 지원을 통한 경쟁력 확보 등 3개의 추진방향을 잡고 ①비대면 서비스 보안 시범사업 및 공공분야 선제 도입 ②수요 확대를 위한 중소기업의 비대면 서비스 보안 도입 확산 지원 ③공급 지원을 위한 비대면 솔루션 & 정보보호 공급기업 지원 등 3개의 추진 과제를 마련했다.
비대면 서비스 보안 시범사업 및 공공분야 선도적 도입
첫 번째로 정부는 클라우드, 블록체인, 생체인식 등 신기술을 활용하여 차별화된 보안기능을 갖춘 비대면 서비스를 시범 적용한다. 무인점포의 경우 현장에 생체인식, 출동보안 등 기술을 적용해서 사업종료 후에도 실 서비스화 될 수 있도록 유도할 방침이다. 보안 민감 분야에서 클라우드를 도입할 경우, 보안 우려를 해소하기 위해 클라우드 도입과 보안성 검증을 패키지로 지원한다. 예를 들면, 클라우드 기반의 개인정보 관리시스템, 문서유출 방지가 가능한 클라우드 기반 콜센터 재택·원격근무시스템 등을 함께 지원한다.
▲비대면 서비스별 보안기능 예시[자료=과기정통부]
과기정통부는 비대면 서비스 보안 시범사업이 다른 사업들과 마찬가지로 특정한 기관을 미리 정해 실시하지 않고 2021년 초에 조달청 사업 공고를 통해 시행할 예정이라고 밝혔다. 시범사업 분야는 비대면 교육, 원격근무, 유통이나 물류 분야 온라인 비즈니스 등을 대상으로 과제를 선정할 예정이며, 물론 준비 과정에서 과제나 선정 규모는 변경될 수 있다. 아울러 비대면 서비스는 온라인으로 이루어지기 때문에 특정장소를 한정하지 않는다.
두 번째, 공공분야 비대면 서비스 확산에 필요한 클라우드 우선 도입을 위해 보안인증 신속처리 지원과 인증범위를 2021년부터 확대한다. 이를 위해 클라우드 보안 인증에 필요한 소요기간을 단축(3.3개월→2.5개월)하고, 국가·공공기관에 개방형 OS 기반의 서비스형 데스크톱(DaaS)이 원활하게 도입될 수 있도록 보안인증 기준을 마련한다.
DaaS란 ‘Desktop as a Service’의 줄임말로 개별 PC마다 윈도 등의 OS를 설치해 작업 환경을 구축하는 대신, 접속단말을 통해 원격으로 작업 환경을 이용하는 클라우드 플랫폼이다. 이와 관련 국가정보원은 행정안전부가 추진하는 개방형 OS 도입계획에 따라 민간의 클라우드 기반 DaaS 서비스를 국가·공공기관이 안전하게 이용할 수 있도록 국가·공공기관 개방형 OS 활용 보안 가이드라인을 마련하고 있다. 과기정통부는 국가·공공기관이 이용할 수 있는 민간 클라우드 기반 DaaS 서비스가 보안 가이드라인을 준수하는지 여부를 점검하는 보안인증 기준을 마련할 예정이다. 현재 행정안전부 등 소관부처들과 함께 클라우드 사업자들과 소통하며 기준을 마련하고 있다.
세 번째는 보안성을 확보한 IoT 제품(IP 카메라, 공유기 등)이 도입되도록 컨설팅과 인증 등을 지원해 보안강화 제품 보급을 확대한다는 계획이다. 현재 과기정통부는 공공시설에 설치되는 월패드와 도어락 등은 IoT 보안인증을 받은 제품들이 설치되도록 하는 등 먼저 공공분야에서 IoT 보안인증을 받은 제품들이 구매 될 수 있도록 LH공사 등 IoT 제품 수요처들과 협력 중이며, AI 스피커 제조·운영사들과도 업무협력을 강화하고 있다. 아울러 2021년에는 중소기업 등 IoT 제조사에게 ‘IoT 보안 컨설팅 및 인증 취득을 위한 지원’을 통해 보안이 강화된 제품들이 보급되도록 하겠다는 방침이다.
또한, 2020년 5월 정보통신망법 개정으로 ‘IoT 보안인증제도’의 법적 근거를 확보했으며, 산·학·연 전문가로 구성된 ‘IoT 보안인증 제도개선 연구반’ 운영을 통해 IoT 보안인증의 활성화를 위한 노력을 계속해 나간다는 방침이다.
수요 확대를 위한 중소기업의 비대면 서비스 보안 도입 확산 지원
보안 지식이 부족한 영세·중소기업도 쉽고 안전하게 비대면 서비스를 이용할 수 있도록 ‘클라우드 보안 서비스’ 비용을 지원한다. 정보보호에 관심과 투자의향을 가진 기업의 보안역량 강화를 위해 종합컨설팅 및 보안솔루션 추가도입 등 투자를 지원한다.
▲중소기업 맞춤형 정보보호 지원방안[자료=과기정통부]
과기정통부에 따르면 컨설팅 대상은 정보보호 관련 학계와 업계, 기관 등 외부전문가로 구성된 한국인터넷진흥원 운영위원회에서 기업의 규모와 업종 등을 고려해 결정하며, 컨설팅 기업은 21년 상반기에 조달청 공고를 통해 선정할 예정이다. 클라우드 보안서비스와 솔루션 제품등록은 홈페이지(smb.isconsulting.kr)를 통해 상시로 접수받고 있으며, 제품 적합성을 검토하여 신청일자 기준 2주 내로 목록에 등록된다. 지원비용 책정은 중소기업이 최소한의 보안환경을 구축할 수 있는 수준의 금액을 기준으로 책정했으며, 핵심보안제품의 평균 가격정도라고 과기정통부는 설명하고 있다. 아울러 클라우드 보안서비스는 구독형 서비스 형태로도 지원하고 있으며, 정부지원금은 1년 지원을 원칙으로 하고 있다.
공급 지원을 위한 비대면 솔루션 및 정보보호 공급기업 지원
정보보호 제품의 클라우드 전환을 유도하는 시범사업 추진과 기능 고도화를 위한 보안수준 컨설팅을 2021년부터 추진한다. 유망한 클라우드 보안서비스를 중심으로 서비스 전환 및 개발을 지원한다. 유망한 클라우드 보안서비스란 △ID관리/접근제어 △이메일 보안 △웹방화벽 등 우리가 경쟁력 있는 클라우드 보안 서비스를 중심으로 서비스를 전환하고 개발하도록 지원한다. 또한, 보안기업의 비대면 보안서비스 제공 내용·기간에 따른 적정한 대가를 받을 수 있는 구독형 서비스(월 사용료 지급)로 전환을 유도한다. 이를 위해 정부와 공공기관에서 예산계획 수립과 편성, 집행할 때 기존 보안제품 구입 및 유지보수 개념이 아닌 서비스 이용에 따른 대가지급 방식으로 변경을 추진한다.
이와 관련 과기정통부는 공공분야 구독형 서비스 도입을 위해서는 먼저 보안업계뿐만 아니라 수요기관들과도 협력을 통해 SW 대가산정 가이드 개정 등 공공분야 구독형 서비스의 산정 근거 등을 마련되어야 한다고 밝혔다. 이에 민간에서 클라우드 서비스에 이미 보편화 되어 있는 구독형 서비스를 참고해 조속히 추진할 수 있도록 노력하겠다고 설명했다. 아울러 우선 활용도가 많은 클라우드 보안서비스를 시작으로, 수요 등을 고려한 후 구독형 서비스 도입이 필요한 보안 서비스 분야로 확대해 나갈 예정이라고 말했다.
또한, 국민들의 사용 빈도가 높은 중소 SW개발업체 비대면 서비스에 대한 보안취약점 점검과 안전성 진단도 2021년부터 시행한다. 해당 비대면 서비스는 한국SW산업협회가 지정한 재택·원격근무 및 교육솔루션(156개 개발사 184개 솔루션)을 중심으로 진행한다.
과기정통부는 제품(웹, 앱 등) 대상으로 알려진 취약점에 대한 점검은 온라인으로 제공하며, 기업에 대해서는 운영환경 등의 보안수준을 현장 방문해 점검할 계획이다. 비대면 서비스를 개발·운영하는 국내 중소기업이 대상이며, 한국인터넷진흥원이 해당 기업들에게 의사를 확인하여 동의하는 기업에 한해서 점검을 진행한다. 세부 점검절차는 준비 중에 있으며, 점검을 희망하는 기업이 있다면 먼저 한국인터넷진흥원 취약점점검팀으로 문의하면 된다. 아울러 취약점 점검은 강제성은 없어 점검을 받지 않더라도 불이익은 없으나, 기업의 보안수준 향상을 위해 점검받는 것을 강력히 권한다고 과기정통부는 밝혔다.
[원병철 기자(boanone@boannews.com)]
과기정통부, 공공분야 IoT 보안인증 제품 구매 촉진위해 LH공사 등 IoT 제품 수요처들과 협력 중
[보안뉴스 원병철 기자] 정보보호 산업 활성화와 신기술 및 신시장 창출을 위해 정부가 마련한 ‘제2차 정보보호산업 진흥계획’이 발표(6월 22일, 정보통신전략위원회)된 지 벌써 2개월이 지났다. 정보보호산업법 제5조에 따라 수립된 제2차 정보보호산업 진흥계획은 2021년부터 2025년까지 5년 동안 클라우드, 블록체인, 생체인식 등 신기술을 활용해 정보보호 신시장을 창출하는 것을 목표로 하고 있기에 계획이 얼마나 잘 시행되느냐에 따라 정보보호 산업의 미래가 바뀔 수 있다. 이에 <보안뉴스>는 제2차 정보보호산업 진흥계획의 핵심인 10대 중점 추진계획을 살펴보고 하나씩 진단하는 시간을 마련했다.
[이미지=utoimage]
3대 목표 달성 위해 ‘3대 주제, 10대 중점 추진과제’ 수립
정부는 이번 제2차 정보보호산업 진흥계획을 통해 ①산업규모 20조원 ②300억 이상 매출 기업 100개 ③일자리 16만 5,000명 창출 등 3대 목표를 달성할 계획이다. 이를 위해 △디지털 전환에 따른 정보보호 신시장 진출 △민간 주도 사이버 복원력 확보를 위한 투자지원 확대 △지속성장 가능한 정보보호 생태계 조성 등 3대 주제를 근간으로 10대 중점 추진과제를 만들었다.
10대 중점 추진과제는 ①비대면 서비스 관련 보안시장 활성화 ②정보보호 데이터 활용기반 조성 ③AI 기반 물리보안 산업 육성 ④5G+ ICT 융합보안 산업 저변확대 ⑤공공 및 민간 분야 정보보호 투자 확대 ⑥정보보호기업 성장 지원 ⑦정보보호기업 해외진출 및 국제협력 강화 ⑧차세대 보안 신기술 확보 ⑨정보보호산업 규제 및 법·제도 개선 ⑩정보보호 전문인력 양성 등 3대 주제를 실현할 수 있는 실천방안 중심으로 이뤄졌다.
비대면 서비스 관련 보안시장 활성화
그중 첫 번째인 ‘비대면 서비스 관련 보안시장 활성화’는 코로나19로 인해 경제 사회 전반에서 대면 접촉을 최소화하기 위해 클라우드 기반의 ‘디지털 언택트(Untact) 환경’으로 전환되면서 급부상한 재택근무, 온라인 교육, 온라인 유통 등 디지털 기반의 비대면 산업의 보안을 강화하기 위해 마련됐다.
정부는 전 세계 클라우드 보안 시장이 기술력과 규모의 경제를 앞세운 글로벌 기업의 선점으로, 후발주자인 국내 기업의 경쟁력 확보에 애로가 있기 때문에 국내 클라우드 보안산업 육성을 위해 공공부문의 우선 주도를 통해 경쟁력을 강화하고 민간 확산을 통한 시장 활성화가 필요하다고 판단했다.
이에 정부는 △안전한 비대면 환경 조성을 위한 시범사업 및 공공선도 △비대면 성장기반 마련을 위한 수요기업 지원으로 이용 활성화 △비대면 솔루션, 보안 공급기업 지원을 통한 경쟁력 확보 등 3개의 추진방향을 잡고 ①비대면 서비스 보안 시범사업 및 공공분야 선제 도입 ②수요 확대를 위한 중소기업의 비대면 서비스 보안 도입 확산 지원 ③공급 지원을 위한 비대면 솔루션 & 정보보호 공급기업 지원 등 3개의 추진 과제를 마련했다.
비대면 서비스 보안 시범사업 및 공공분야 선도적 도입
첫 번째로 정부는 클라우드, 블록체인, 생체인식 등 신기술을 활용하여 차별화된 보안기능을 갖춘 비대면 서비스를 시범 적용한다. 무인점포의 경우 현장에 생체인식, 출동보안 등 기술을 적용해서 사업종료 후에도 실 서비스화 될 수 있도록 유도할 방침이다. 보안 민감 분야에서 클라우드를 도입할 경우, 보안 우려를 해소하기 위해 클라우드 도입과 보안성 검증을 패키지로 지원한다. 예를 들면, 클라우드 기반의 개인정보 관리시스템, 문서유출 방지가 가능한 클라우드 기반 콜센터 재택·원격근무시스템 등을 함께 지원한다.
▲비대면 서비스별 보안기능 예시[자료=과기정통부]
과기정통부는 비대면 서비스 보안 시범사업이 다른 사업들과 마찬가지로 특정한 기관을 미리 정해 실시하지 않고 2021년 초에 조달청 사업 공고를 통해 시행할 예정이라고 밝혔다. 시범사업 분야는 비대면 교육, 원격근무, 유통이나 물류 분야 온라인 비즈니스 등을 대상으로 과제를 선정할 예정이며, 물론 준비 과정에서 과제나 선정 규모는 변경될 수 있다. 아울러 비대면 서비스는 온라인으로 이루어지기 때문에 특정장소를 한정하지 않는다.
두 번째, 공공분야 비대면 서비스 확산에 필요한 클라우드 우선 도입을 위해 보안인증 신속처리 지원과 인증범위를 2021년부터 확대한다. 이를 위해 클라우드 보안 인증에 필요한 소요기간을 단축(3.3개월→2.5개월)하고, 국가·공공기관에 개방형 OS 기반의 서비스형 데스크톱(DaaS)이 원활하게 도입될 수 있도록 보안인증 기준을 마련한다.
DaaS란 ‘Desktop as a Service’의 줄임말로 개별 PC마다 윈도 등의 OS를 설치해 작업 환경을 구축하는 대신, 접속단말을 통해 원격으로 작업 환경을 이용하는 클라우드 플랫폼이다. 이와 관련 국가정보원은 행정안전부가 추진하는 개방형 OS 도입계획에 따라 민간의 클라우드 기반 DaaS 서비스를 국가·공공기관이 안전하게 이용할 수 있도록 국가·공공기관 개방형 OS 활용 보안 가이드라인을 마련하고 있다. 과기정통부는 국가·공공기관이 이용할 수 있는 민간 클라우드 기반 DaaS 서비스가 보안 가이드라인을 준수하는지 여부를 점검하는 보안인증 기준을 마련할 예정이다. 현재 행정안전부 등 소관부처들과 함께 클라우드 사업자들과 소통하며 기준을 마련하고 있다.
세 번째는 보안성을 확보한 IoT 제품(IP 카메라, 공유기 등)이 도입되도록 컨설팅과 인증 등을 지원해 보안강화 제품 보급을 확대한다는 계획이다. 현재 과기정통부는 공공시설에 설치되는 월패드와 도어락 등은 IoT 보안인증을 받은 제품들이 설치되도록 하는 등 먼저 공공분야에서 IoT 보안인증을 받은 제품들이 구매 될 수 있도록 LH공사 등 IoT 제품 수요처들과 협력 중이며, AI 스피커 제조·운영사들과도 업무협력을 강화하고 있다. 아울러 2021년에는 중소기업 등 IoT 제조사에게 ‘IoT 보안 컨설팅 및 인증 취득을 위한 지원’을 통해 보안이 강화된 제품들이 보급되도록 하겠다는 방침이다.
또한, 2020년 5월 정보통신망법 개정으로 ‘IoT 보안인증제도’의 법적 근거를 확보했으며, 산·학·연 전문가로 구성된 ‘IoT 보안인증 제도개선 연구반’ 운영을 통해 IoT 보안인증의 활성화를 위한 노력을 계속해 나간다는 방침이다.
수요 확대를 위한 중소기업의 비대면 서비스 보안 도입 확산 지원
보안 지식이 부족한 영세·중소기업도 쉽고 안전하게 비대면 서비스를 이용할 수 있도록 ‘클라우드 보안 서비스’ 비용을 지원한다. 정보보호에 관심과 투자의향을 가진 기업의 보안역량 강화를 위해 종합컨설팅 및 보안솔루션 추가도입 등 투자를 지원한다.
▲중소기업 맞춤형 정보보호 지원방안[자료=과기정통부]
과기정통부에 따르면 컨설팅 대상은 정보보호 관련 학계와 업계, 기관 등 외부전문가로 구성된 한국인터넷진흥원 운영위원회에서 기업의 규모와 업종 등을 고려해 결정하며, 컨설팅 기업은 21년 상반기에 조달청 공고를 통해 선정할 예정이다. 클라우드 보안서비스와 솔루션 제품등록은 홈페이지(smb.isconsulting.kr)를 통해 상시로 접수받고 있으며, 제품 적합성을 검토하여 신청일자 기준 2주 내로 목록에 등록된다. 지원비용 책정은 중소기업이 최소한의 보안환경을 구축할 수 있는 수준의 금액을 기준으로 책정했으며, 핵심보안제품의 평균 가격정도라고 과기정통부는 설명하고 있다. 아울러 클라우드 보안서비스는 구독형 서비스 형태로도 지원하고 있으며, 정부지원금은 1년 지원을 원칙으로 하고 있다.
공급 지원을 위한 비대면 솔루션 및 정보보호 공급기업 지원
정보보호 제품의 클라우드 전환을 유도하는 시범사업 추진과 기능 고도화를 위한 보안수준 컨설팅을 2021년부터 추진한다. 유망한 클라우드 보안서비스를 중심으로 서비스 전환 및 개발을 지원한다. 유망한 클라우드 보안서비스란 △ID관리/접근제어 △이메일 보안 △웹방화벽 등 우리가 경쟁력 있는 클라우드 보안 서비스를 중심으로 서비스를 전환하고 개발하도록 지원한다. 또한, 보안기업의 비대면 보안서비스 제공 내용·기간에 따른 적정한 대가를 받을 수 있는 구독형 서비스(월 사용료 지급)로 전환을 유도한다. 이를 위해 정부와 공공기관에서 예산계획 수립과 편성, 집행할 때 기존 보안제품 구입 및 유지보수 개념이 아닌 서비스 이용에 따른 대가지급 방식으로 변경을 추진한다.
이와 관련 과기정통부는 공공분야 구독형 서비스 도입을 위해서는 먼저 보안업계뿐만 아니라 수요기관들과도 협력을 통해 SW 대가산정 가이드 개정 등 공공분야 구독형 서비스의 산정 근거 등을 마련되어야 한다고 밝혔다. 이에 민간에서 클라우드 서비스에 이미 보편화 되어 있는 구독형 서비스를 참고해 조속히 추진할 수 있도록 노력하겠다고 설명했다. 아울러 우선 활용도가 많은 클라우드 보안서비스를 시작으로, 수요 등을 고려한 후 구독형 서비스 도입이 필요한 보안 서비스 분야로 확대해 나갈 예정이라고 말했다.
또한, 국민들의 사용 빈도가 높은 중소 SW개발업체 비대면 서비스에 대한 보안취약점 점검과 안전성 진단도 2021년부터 시행한다. 해당 비대면 서비스는 한국SW산업협회가 지정한 재택·원격근무 및 교육솔루션(156개 개발사 184개 솔루션)을 중심으로 진행한다.
과기정통부는 제품(웹, 앱 등) 대상으로 알려진 취약점에 대한 점검은 온라인으로 제공하며, 기업에 대해서는 운영환경 등의 보안수준을 현장 방문해 점검할 계획이다. 비대면 서비스를 개발·운영하는 국내 중소기업이 대상이며, 한국인터넷진흥원이 해당 기업들에게 의사를 확인하여 동의하는 기업에 한해서 점검을 진행한다. 세부 점검절차는 준비 중에 있으며, 점검을 희망하는 기업이 있다면 먼저 한국인터넷진흥원 취약점점검팀으로 문의하면 된다. 아울러 취약점 점검은 강제성은 없어 점검을 받지 않더라도 불이익은 없으나, 기업의 보안수준 향상을 위해 점검받는 것을 강력히 권한다고 과기정통부는 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
