공공기관의 민간 클라우드 이용 활성화 위해 상‧중등급 평가기준 반영된 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부 개정
[보안뉴스 김경애 기자] 기업의 인증획득 부담 완화와 복잡한 인증 절차 간소화를 위해 최근 정보보호 6개 법정 인증제도의 개선방안이 발표됐다. 개선되는 6개의 법정 인증제도는 △정보보호 관리체계인증(ISMS, 2002~) △클라우드 보안인증(CSAP, 2016~) △정보통신망 연결기기 등 정보보호인증(IoT, 2018~) △정보보호제품 평가인증(CC, 2002~) △정보보호제품 성능평가(2018~) △SW 품질인증(GS, 2001~)이다.
[이미지=gettyimagesbank]
이 가운데서도 정보보호 관리체계(ISMS) 인증과 클라우드 보안인증 제도가 어떻게 개선되는지 관심이 모아지고 있다. 이에 <보안뉴스>는 과학기술정보통신부(이하 과기정통부) 사이버침해대응과 최광기 과장과의 인터뷰를 통해 해당 인증 제도의 개선방향에 대해 들어봤다.
1. ISMS 인증
Q. 과기정통부에서 현재 진행 중인 ISMS 인증 개선의 구체적인 내용이 궁금합니다.
자금력이 부족한 중소기업들의 인증비용, 평가항목에 대한 부담을 완화할 수 있도록 인증항목, 수수료 등을 경량화한 ISMS 간편인증제도를 도입할 예정입니다. 적용 대상은 정보통신서비스 부문 매출액 300억원 미만의 중소기업과 매출액 300억원 이상의 중기업 중 회사 내 정보통신설비를 보유하지 않고 서비스를 제공하고 있는 기업(웹호스팅, 클라우드 서비스(SaaS, PaaS) 등)입니다. 또한, ISMS 의무대상을 현행 정보통신서비스 부문 매출액 100억원 이상에서 300억원 이상의 사업자로 상향해 의무대상 기준을 완화할 예정입니다.
또한, 인증심사 절차 전반을 전산시스템화해 소요기간을 5개월에서 2개월로 단축하는 한편, 인증 유효기간을 현행 3년에서 다른 인증제도(CSAP, CC인증 등)를 고려해 5년으로 조정할 예정입니다. 아울러 인증취득 기업들이 매년 받아야 하는 사후심사에 대해서도 3년간 침해사고가 발생하지 않은 기업에 대해서는 서면심사로 간소화할 계획입니다.
Q. 중소기업의 ISMS 인증과 관련해 인증점검 경량화로 80개에서 40개로 줄어든 것으로 알고 있는데요. 주요 변경 내용은 무엇인가요?
기업의 실질적인 정보보호 활동에 필요한 필수항목은 유지했고요. 중소기업의 인력과 가용자원 수준에서 불필요한 항목 등에 대해서는 완화 또는 삭제해 중소기업의 인증부담을 줄이고자 합니다.
Q. 인증심사 절차를 전산시스템화 해 심사 소요 기간을 단축한다고 하셨는데, 구체적으로 시스템이 어떻게 운영돼 절차가 간소화되는지 궁금합니다.
기존에 신청접수, 서류검토, 신청기업에 대한 보완 요청, 인증 평가 계약서 작성‧체결 등을 거치게 되는 인증심사 절차가 이메일, 전화, 수기 형태로 진행되어 심사기간에 불필요한 대기기간이 많이 포함돼 있었는데요. 해당 절차 등을 전산시스템 내에서 일괄 처리해 심사기간을 크게 단축할 수 있게 됩니다.
Q. 침해사고 미발생 기업에는 사후심사를 서면심사로 전환한다고 하셨는데요. 고도화된 보안 위협에 제로데이 취약점 공격 등으로 사고가 발생한 줄 모르는 기업도 상당수 일 것 같습니다. 여기에 대해서는 어떻게 대비하고 있나요? 이와 관련 침해사고 미발생 기업의 자격 요건 또는 구체적인 기준이 궁금합니다.
기업의 정보보호 수준 저하 방지를 위해 서면평가 대상기업 중 일부에 대해 샘플링 현장점검을 실시하거나 서면평가 결과 미흡시 현장평가 등도 병행하고, 사후심사 미이행 기업에 대해서는 인증취소 등도 검토할 예정입니다.
Q. ISMS 인증과 관련해 과기정통부에서 준비하고 있는 향후 계획은 무엇인가요?
과기정통부는 발표한 인증제도 개선방안을 이행하기 위해 ISMS 간편인증 도입 관련 하위법령 및 고시 개정 절차를 진행 중에 있습니다. 앞으로 의무대상 기준 완화, 유효기간 변경 등을 위한 법 개정 등을 추가적으로 진행할 예정이며, 중소기업이 적은 부담으로도 필요한 정보보호 체계를 구축 유지할 수 있도록 노력하겠습니다.
2. CSAP 인증
Q. 현재 과기정통부에서 진행 중인 CSAP 인증의 개선사항에 대해 구체적인 설명 부탁드립니다.
행정기관, 공공기관의 정보자원 클라우드 전환‧통합 추진에 따라, CSAP 인증 수요가 급증했으나, 기존에는 인증‧평가인력의 부족 등으로 인증서 발급까지 평균 4~5개월이 소요되어 새로운 서비스가 공공부문에 적시 도입되지 못하는 어려움이 있었습니다. 또한, 2023년부터 인증 평가 수수료가 부과되면서 인증 취득 및 사후관리를 위한 비용이 발생해 이로 인한 사업자의 행정‧비용 부담이 과도하다는 불만이 존재했습니다.
이에 인증기관과 평가기관의 평가인력을 확충하고, 평가기관을 추가 지정해 증가하는 인증수요에 대응하려고 합니다. 또한, 인증 신청절차 등을 단축하고 보안인증위원회를 수시 개최로 변경하는 등 인증 신청부터 발급까지의 행정 소요기간을 2개월로 단축할 예정입니다. 이와 더불어 2024년 중견‧중소기업 수수료 지원 비율을 기존 30%~70%에서 50%~80%로 대폭 확대해 지원하는 한편, 2025년부터 SaaS 서비스에 한해 사후관리 방식을 현장평가에서 서면평가로 전면 전환함으로써 인증기업의 행정·비용 부담을 획기적으로 완화하고자 합니다.
Q. 기존 CSAP 인증과 관련해 인증 및 평가기관의 심사인력을 추가 투입한다고 하셨는데요. 투입인력 규모 등 구체적인 내용에 대해 말씀해 주신다면?
우선 인증기관은 내부적으로 보안인증평가원 자격을 충족하는 인력풀을 구성하고, 4월부터 5명을 추가 투입해 운영 중입니다. 평가기관의 경우, 현재 평가기관으로 지정된 정보통신진흥협회는 상반기 중 클라우드 보안인증 평가 인력 2명을 신규 채용해 6월부터 투입 예정입니다.
Q. 사후평가는 평가방식을 개선한다고 하셨는데요. 현장에서 서면으로 바꿀 시, 요식행위에 그쳐 보안 수준이 저하될 것이라는 등 우려의 시각도 있는데요. 서면평가에 대한 리스크 관리는 어떻게 계획하고 있나요?
서면평가 전환에 따른 리스크를 축소하고, 최소한의 보안수준을 확보하기 위해 서면평가 시 기업에서 제출한 서류가 미흡한 경우 증빙자료 추가 제출 요청 및 서류 보완 등을 통해 보안 인증기준 충족 여부를 확인할 예정입니다.
더불어 ‘샘플링 현장 점검(가칭)’을 도입해 침해사고 및 서비스 장애 발생 기업, 서면평가 결과가 미흡한 기업을 대상으로 현장 점검을 실시할 예정입니다. 점검 결과가 미흡할 시 해당 기업은 사후평가를 현장 평가로 전면 전환하고 허위자료 제출 등이 확인될 시에는 인증 취소 등을 추가로 검토할 예정입니다.
▲과학기술정보통신부 사이버침해대응과 최광기 과장[사진=최광기 과장]
Q. 샘플링 현장 점검 도입 후 미흡한 기업에 대해 매년 현장평가 실시 등 사후관리를 철저히 한다고 하셨는데요. 샘플링 현장 점검일 경우 좀더 엄격한 평가가 요구될 것 같은데요.
샘플링 현장 점검 시 서면·현장점검, 취약점 점검, 모의침투 테스트를 실시해 해당 서비스가 보안인증 기준에 적합하게 운영되고 있는지 확인할 예정입니다. 만약 현장점검 과정에서 보안인증 기준에 적합하지 않은 게 확인된 경우, ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’ 제23조의3 및 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 제27조에 의거해 보안인증위원회의 심의‧의결을 거쳐 인증 취소도 검토할 예정입니다.
Q. 신규 평가기관을 상반기 내 추가 지정할 계획이라고 하셨는데, 이에 대한 구체적인 내용이 궁금합니다.
현재 민간 평가기관 추가지정을 위한 계획을 수립 중이며, 5월 중 공고를 게시할 예정입니다. 이후 신청서를 접수한 기관을 대상으로 서류검토 및 현장심사, 종합심사 등을 거쳐 적합한 기관을 선정해 올해 상반기 중 추가 지정하는 것을 목표로 하고 있습니다.
Q. CSAP 인증과 관련해 과기정통부의 향후 계획이 궁금합니다.
CSAP 인증 소요기간 감축 및 수수료 부담 경감 등과 함께, 공공부문의 민간 클라우드 이용 활성화를 위해 상‧중등급 평가기준이 반영된 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부 개정을 앞두고 있습니다.
지난 2월 행정예고를 거쳐 이해관계자의 의견을 수렴했는데요. 이를 반영한 개정안에 대해 규제심사를 진행 중입니다. 고시 개정 절차가 마무리되면 클라우드 보안인증 상‧중등급제가 본격 시행되어 민간 클라우드 시장 확대에 기여할 것으로 기대합니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>