중소기업 위한 정보보호 제품 도입 지원 및 정보보호 기업 불필요한 인증 간소화
스마트화된 주택, 가전, 생산시설 등도 ‘정보통신망연결기기’로 분류해 보호조치 마련
[보안뉴스 이상우 기자] 정부는 2021년, 정보보호 제품 도입지원을 받는 중소기업을 1,270개까지 확대하고, 정보보호제품 평가 및 인증에서는 재평가 기준을 완화한다. 과학기술정보통신부(장관 최기영, 이하 과기정통부)가 ‘ICT 중소기업 정보보호 안전망 확충’, ‘정보보호제품 평가·인증 부담완화’, ‘정보보호관리체계(ISMS) 간편 인증 신설’ 등 중소기업 정보보안 강화와 안전한 정보보호 제품 이용 촉진을 위한 ‘2021년, 달라지는 정보보호 제도와 지원 사업’의 주요 내용을 발표했다.
[이미지=utoimage]
1. ICT 중소기업 정보보호 안전망 확충
지난 2019년 실시한 정보보호실태조사에 따르면 국내 기업은 사이버 공격 유형 중 랜섬웨어를 가장 많이 경험하고(54%), ‘필요한 정보보호 제품 및 서비스 찾기가 어려움’을 가장 큰 애로사항으로 호소하고 있다.
이에 따라 과기정통부는 ICT 중소기업이 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 ’정보보호 컨설팅 및 보안제품 도입 지원’ 사업 대상 기업을 300개에서 600개로 확대하고, 지원 금액을 기업 당 1,000만 원에서 1,500만 원으로 확대한다.
또한, 정보보호 전담인력이 부족해 보안제품을 운용할 수 없는 중소기업 670개를 대상으로 클라우드 보안 서비스 이용 비용(최대 500만 원 상당)을 신규 지원할 계획이다. SECaaS(서비스형 보안) 등 클라우드 보안 서비스는 기업이 직접 보안 솔루션을 구축하지 않고도 매월 일정 금액을 솔루션 기업에 지불하고, 실시간으로 이메일 보안이나 악성코드 탐지 등의 보안 조치를 제공받는 서비스다. 이를 통해 기업은 초기 구축 비용 및 유지보수 비용을 줄일 수 있다.
2. 5G 핵심서비스 보안테스트 환경 본격 운용
ICT 생태계가 5G, IoT 등을 기반으로 빠르게 변화하고 있으며, 해킹 등 사이버 위협도 날로 지능화되고 있다. 국민 생활과 밀접한 5G 핵심서비스 분야별로 보안위협 대응·예방이 필요하나, 관련 보안제품에 대한 안전성을 실증할 수 있는 도구 및 공간은 부족하다.
이에 따라 과기정통부는 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업해 보안기술을 검증하고, 기기·플랫폼의 보안성을 테스트할 수 있는 ‘융합보안 리빙랩‘을 전국 5개 지역에 본격 운용한다. 융합보안 리빙랩 이용을 희망하는 중소기업(제조·솔루션·보안기업 등)은 예약을 통해 무료로 이용할 수 있다.
3. 소프트웨어 개발보안 취약점 점검서비스 신설
안전하지 않은 소프트웨어는 해킹 등 사이버 공격 대상이 되고, 침해사고 발생 시 국민의 소중한 개인정보 탈취, 기업 주요 정보자산 유출 등 그 피해가 심각하게 나타날 수 있다. 하지만, 보안투자 여력이 부족한 중소기업이 안전한 소프트웨어를 만들기 위한 시간과 비용 문제, 고가의 소프트웨어 취약점 진단도구 이용 등 많은 어려움이 있다.
이에 따라 중소기업이 소프트웨어 개발 단계부터 보안을 적용할 수 있도록 소프트웨어 보안취약점 점검을 지원하고, 기업이 고가의 취약점 진단도구를 이용할 수 있도록 진단체계를 운영한다. 개발보안 진단은 진단 도구 및 전문가 상주를 통해 지원하며, 2021년 50개 기업을 시작으로, 내년에는 350개, 2023년에는 700개로 확대해 총 1,100여개 기업을 지원할 계획이다.
4. 인공지능(AI) 기술 기반의 보안기업 육성
사이버공격이 대규모·지능화되면서 인공지능을 활용한 보안 제품·서비스 개발은 더 이상 미룰 수 없는 과제가 됐다. 세계 정보보호 시장은 인공지능 기반으로 전환을 서두르고 있지만, 국내 정보보호 기업들은 인력, 예산 및 데이터 부족으로 어려움을 겪고 있는 상황이다
과기정통부는 이를 해결하기 위해, 인공지능 기반의 보안 제품·서비스를 개발하고자 하는 기업을 매년 20개 선발해 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성하도록 지원한다. 또한, 개발된 제품을 해외로 수출할 수 있도록 지원해 글로벌 경쟁력을 갖춘 기업을 육성한다.
5. 사이버위협 빅데이터 개방·공유 확대
최근 확산하고 있는 비대면 환경과 함께 지능화·고도화하는 사이버 위협에 능동적으로 대응하기 위해서는 무엇보다 사이버위협 정보에 대한 빅데이터 분석을 기반으로 한 다양한 접근이 필요한 상황이다. 하지만, 사이버 보안 분야의 AI 개발에 필요한 사이버위협 빅데이터 정보가 부족하고 데이터 구축에 많은 시간과 비용이 소요되는 중소·벤처기업에게 큰 부담으로 작용하고 있다.
이에 따라, 보안위협 정보의 수집 대상과 규모(비대면·지능정보 서비스 분야)를 확대해 분야별 위협정보 빅데이터를 확충(약 10억 건)한다. 이를 기반으로 수요기반 맞춤형 데이터셋을 구축 및 공유해 민간 보안 제품의 검증 및 연구 등에 적극 활용할 수 있도록 온라인 사이버위협 빅데이터 활용 환경을 제공한다.
6. 내 PC 돌보미 서비스 확대
코로나19 지속으로 언택트 문화가 자리 잡으며 쇼핑, 게임, 교육 등 온라인 활동이 증가하면서 해킹에 의한 개인정보 탈취 등 사이버 공격 위협도 함께 증가하고 있다. 이에 따라 정부는 2020년 9월부터 전국민 인터넷 PC를 대상으로 보안 전문가가 원격에서 무료로 보안점검을 진행하는 ‘내 PC 돌보미 서비스’를 실시하고 있다.
금년부터는 특히 고령층, 장애인 등 정보보호 실천이 어려운 디지털 취약계층을 대상으로 직접 방문해 서비스를 제공하는 ‘찾아가는 보안점검 서비스’로 사회적 가치를 실현할 계획이다. 아울러, 기존 인터넷 PC 중심의 보안점검 서비스에서 테블릿PC, 공유기 등 IoT 기기로 보안점검 대상을 확대하고 보안점검 전문 인력도 증원(54명→84명, 55% 증가)해 국민이 원하는 시간대에 불편 없이 서비스를 이용할 수 있도록 지원한다.
7. 정보보호 제품 인증·평가 기준 완화
정보보호기업이 정부·공공에 백신, 방화벽 등 정보보호제품을 납품하기 위해서 정보보호제품 평가 및 인증(CC인증)을 필수적으로 받아야 하지만, 신생기업의 경우 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움을 겪고 있다. 또한, 올해의 경우 평가 수요가 많아 평가 적체가 심화됐고, 재인증 시 간단한 보안패치만 하더라도 최초 평가에 준하는 평가(재평가)를 받아야 해 CC인증에 많은 기업부담이 있다.
이러한 정보보호기업의 부담을 경감하기 위해 신생기업을 중심으로 CC인증제도 기본교육을 실시하고 기업이 자발적으로 보안취약점을 점검할 수 있도록 소스코드 자가진단 S/W를 무상으로 이용할 수 있도록 지원한다. 또한, 현재 6개 CC인증 평가기관별로 분산적으로 이루어지는 평가자 양성을 통합해 한국인터넷진흥원(KISA)에서 평가자 양성 교육을 지원하고, 한국정보보호산업협회(KISIA)에서 원스톱으로 CC평가 현황정보를 볼 수 있도록 통합정보 안내사이트도 개설한다.
보안패치로 인한 기능변경은 재평가 대신 간단한 확인(변경승인)으로 대체해 기존 평가 대비 비용은 1/6 수준인 약 500만 원으로, 기간은 1/12 수준 약 3주 이내로 대폭 줄인다. 또한, 국내용 CC 인증서 유효기간을 5년으로 확대해 평가부담을 경감한다.
8. 정보보호관리체계(ISMS) 간편 인증 신설
현재 정보보호관리체계 인증(ISMS)은 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계돼 일정 정보보호체계를 가진 영세·중소기업이 ISMS인증을 원해도 시간과 비용 부담으로 어려움이 있었다.
이에 따라 영세·중소기업 규모에 적합하도록 정보보호 관리활동에 필수적 요소를 마련해 영세·중소기업이 자발적 정보보호 수준 향상 활동을 높이고, 정보보호 사각지대를 해소할 수 있도록 경량화한 ISMS-P 간편 인증 제도를 신설한다. 인증 기준이 간소화로 소요되는 비용과 시간을 30% 이상 줄일 수 있을 전망이다.
9. 데스크톱형 클라우드 서비스 보안인증 본격 시행
행정·공공기관은 내부망·인터넷망의 분리를 위해 행정업무용 PC와 인터넷용 PC 등 2대를 별도로 운영해 왔으며, 이로 인해 비용 및 관리상의 비효율이 존재했다. 이에 따라 클라우드 기반의 데스크톱(DaaS, 컴퓨터 운용에 필요한 운영체제, 업무용 소프트웨어 등을 가상으로 제공하는 방식)을 제공해 효율성을 높인다. 또한, 기존 클라우드 보안인증제 대상에 이러한 가상 데스크톱을 추가해 공공기관 보안 요구사항에 맞출 계획이다.
10. 사물인터넷(IoT) 제품 보안인증 제도 개편
디지털 헬스케어, 자율주행차, 스마트 홈·가전, 스마트시티 등 산업 전반에 정보통신 융합 가속화로 일상생활에서 정보통신망에 연결되는 기기·설비·장비가 늘어나고 있다. ‘정보통신망연결기기 등’의 침해사고는 국민의 생명·신체·재산에 큰 피해로 이어질 수 있어 정보통신망연결기기에 대한 정보보호가 절실히 요구되는 상황이다.
이에 따라 과기정통부는 ‘정보통신망연결기기 등’의 범위를 기존의 전자기기뿐만 아니라 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등으로 확대하고, 정보통신망의 안정성을 확보하는 보호조치를 마련한다. 구체적으로 기존 ‘IoT 보안인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편해 올해 하반기부터 시행하고, 인증시험대행기관 지정, 인증기준 및 절차 마련 등 인증체계를 구축한다.
과기정통부 손승현 정보보호네트워크정책관은 “코로나 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다”고 밝혔다.
[이상우 기자(boan@boannews.com)]
스마트화된 주택, 가전, 생산시설 등도 ‘정보통신망연결기기’로 분류해 보호조치 마련
[보안뉴스 이상우 기자] 정부는 2021년, 정보보호 제품 도입지원을 받는 중소기업을 1,270개까지 확대하고, 정보보호제품 평가 및 인증에서는 재평가 기준을 완화한다. 과학기술정보통신부(장관 최기영, 이하 과기정통부)가 ‘ICT 중소기업 정보보호 안전망 확충’, ‘정보보호제품 평가·인증 부담완화’, ‘정보보호관리체계(ISMS) 간편 인증 신설’ 등 중소기업 정보보안 강화와 안전한 정보보호 제품 이용 촉진을 위한 ‘2021년, 달라지는 정보보호 제도와 지원 사업’의 주요 내용을 발표했다.
[이미지=utoimage]
1. ICT 중소기업 정보보호 안전망 확충
지난 2019년 실시한 정보보호실태조사에 따르면 국내 기업은 사이버 공격 유형 중 랜섬웨어를 가장 많이 경험하고(54%), ‘필요한 정보보호 제품 및 서비스 찾기가 어려움’을 가장 큰 애로사항으로 호소하고 있다.
이에 따라 과기정통부는 ICT 중소기업이 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 ’정보보호 컨설팅 및 보안제품 도입 지원’ 사업 대상 기업을 300개에서 600개로 확대하고, 지원 금액을 기업 당 1,000만 원에서 1,500만 원으로 확대한다.
또한, 정보보호 전담인력이 부족해 보안제품을 운용할 수 없는 중소기업 670개를 대상으로 클라우드 보안 서비스 이용 비용(최대 500만 원 상당)을 신규 지원할 계획이다. SECaaS(서비스형 보안) 등 클라우드 보안 서비스는 기업이 직접 보안 솔루션을 구축하지 않고도 매월 일정 금액을 솔루션 기업에 지불하고, 실시간으로 이메일 보안이나 악성코드 탐지 등의 보안 조치를 제공받는 서비스다. 이를 통해 기업은 초기 구축 비용 및 유지보수 비용을 줄일 수 있다.
2. 5G 핵심서비스 보안테스트 환경 본격 운용
ICT 생태계가 5G, IoT 등을 기반으로 빠르게 변화하고 있으며, 해킹 등 사이버 위협도 날로 지능화되고 있다. 국민 생활과 밀접한 5G 핵심서비스 분야별로 보안위협 대응·예방이 필요하나, 관련 보안제품에 대한 안전성을 실증할 수 있는 도구 및 공간은 부족하다.
이에 따라 과기정통부는 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업해 보안기술을 검증하고, 기기·플랫폼의 보안성을 테스트할 수 있는 ‘융합보안 리빙랩‘을 전국 5개 지역에 본격 운용한다. 융합보안 리빙랩 이용을 희망하는 중소기업(제조·솔루션·보안기업 등)은 예약을 통해 무료로 이용할 수 있다.
3. 소프트웨어 개발보안 취약점 점검서비스 신설
안전하지 않은 소프트웨어는 해킹 등 사이버 공격 대상이 되고, 침해사고 발생 시 국민의 소중한 개인정보 탈취, 기업 주요 정보자산 유출 등 그 피해가 심각하게 나타날 수 있다. 하지만, 보안투자 여력이 부족한 중소기업이 안전한 소프트웨어를 만들기 위한 시간과 비용 문제, 고가의 소프트웨어 취약점 진단도구 이용 등 많은 어려움이 있다.
이에 따라 중소기업이 소프트웨어 개발 단계부터 보안을 적용할 수 있도록 소프트웨어 보안취약점 점검을 지원하고, 기업이 고가의 취약점 진단도구를 이용할 수 있도록 진단체계를 운영한다. 개발보안 진단은 진단 도구 및 전문가 상주를 통해 지원하며, 2021년 50개 기업을 시작으로, 내년에는 350개, 2023년에는 700개로 확대해 총 1,100여개 기업을 지원할 계획이다.
4. 인공지능(AI) 기술 기반의 보안기업 육성
사이버공격이 대규모·지능화되면서 인공지능을 활용한 보안 제품·서비스 개발은 더 이상 미룰 수 없는 과제가 됐다. 세계 정보보호 시장은 인공지능 기반으로 전환을 서두르고 있지만, 국내 정보보호 기업들은 인력, 예산 및 데이터 부족으로 어려움을 겪고 있는 상황이다
과기정통부는 이를 해결하기 위해, 인공지능 기반의 보안 제품·서비스를 개발하고자 하는 기업을 매년 20개 선발해 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성하도록 지원한다. 또한, 개발된 제품을 해외로 수출할 수 있도록 지원해 글로벌 경쟁력을 갖춘 기업을 육성한다.
5. 사이버위협 빅데이터 개방·공유 확대
최근 확산하고 있는 비대면 환경과 함께 지능화·고도화하는 사이버 위협에 능동적으로 대응하기 위해서는 무엇보다 사이버위협 정보에 대한 빅데이터 분석을 기반으로 한 다양한 접근이 필요한 상황이다. 하지만, 사이버 보안 분야의 AI 개발에 필요한 사이버위협 빅데이터 정보가 부족하고 데이터 구축에 많은 시간과 비용이 소요되는 중소·벤처기업에게 큰 부담으로 작용하고 있다.
이에 따라, 보안위협 정보의 수집 대상과 규모(비대면·지능정보 서비스 분야)를 확대해 분야별 위협정보 빅데이터를 확충(약 10억 건)한다. 이를 기반으로 수요기반 맞춤형 데이터셋을 구축 및 공유해 민간 보안 제품의 검증 및 연구 등에 적극 활용할 수 있도록 온라인 사이버위협 빅데이터 활용 환경을 제공한다.
6. 내 PC 돌보미 서비스 확대
코로나19 지속으로 언택트 문화가 자리 잡으며 쇼핑, 게임, 교육 등 온라인 활동이 증가하면서 해킹에 의한 개인정보 탈취 등 사이버 공격 위협도 함께 증가하고 있다. 이에 따라 정부는 2020년 9월부터 전국민 인터넷 PC를 대상으로 보안 전문가가 원격에서 무료로 보안점검을 진행하는 ‘내 PC 돌보미 서비스’를 실시하고 있다.
금년부터는 특히 고령층, 장애인 등 정보보호 실천이 어려운 디지털 취약계층을 대상으로 직접 방문해 서비스를 제공하는 ‘찾아가는 보안점검 서비스’로 사회적 가치를 실현할 계획이다. 아울러, 기존 인터넷 PC 중심의 보안점검 서비스에서 테블릿PC, 공유기 등 IoT 기기로 보안점검 대상을 확대하고 보안점검 전문 인력도 증원(54명→84명, 55% 증가)해 국민이 원하는 시간대에 불편 없이 서비스를 이용할 수 있도록 지원한다.
7. 정보보호 제품 인증·평가 기준 완화
정보보호기업이 정부·공공에 백신, 방화벽 등 정보보호제품을 납품하기 위해서 정보보호제품 평가 및 인증(CC인증)을 필수적으로 받아야 하지만, 신생기업의 경우 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움을 겪고 있다. 또한, 올해의 경우 평가 수요가 많아 평가 적체가 심화됐고, 재인증 시 간단한 보안패치만 하더라도 최초 평가에 준하는 평가(재평가)를 받아야 해 CC인증에 많은 기업부담이 있다.
이러한 정보보호기업의 부담을 경감하기 위해 신생기업을 중심으로 CC인증제도 기본교육을 실시하고 기업이 자발적으로 보안취약점을 점검할 수 있도록 소스코드 자가진단 S/W를 무상으로 이용할 수 있도록 지원한다. 또한, 현재 6개 CC인증 평가기관별로 분산적으로 이루어지는 평가자 양성을 통합해 한국인터넷진흥원(KISA)에서 평가자 양성 교육을 지원하고, 한국정보보호산업협회(KISIA)에서 원스톱으로 CC평가 현황정보를 볼 수 있도록 통합정보 안내사이트도 개설한다.
보안패치로 인한 기능변경은 재평가 대신 간단한 확인(변경승인)으로 대체해 기존 평가 대비 비용은 1/6 수준인 약 500만 원으로, 기간은 1/12 수준 약 3주 이내로 대폭 줄인다. 또한, 국내용 CC 인증서 유효기간을 5년으로 확대해 평가부담을 경감한다.
8. 정보보호관리체계(ISMS) 간편 인증 신설
현재 정보보호관리체계 인증(ISMS)은 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계돼 일정 정보보호체계를 가진 영세·중소기업이 ISMS인증을 원해도 시간과 비용 부담으로 어려움이 있었다.
이에 따라 영세·중소기업 규모에 적합하도록 정보보호 관리활동에 필수적 요소를 마련해 영세·중소기업이 자발적 정보보호 수준 향상 활동을 높이고, 정보보호 사각지대를 해소할 수 있도록 경량화한 ISMS-P 간편 인증 제도를 신설한다. 인증 기준이 간소화로 소요되는 비용과 시간을 30% 이상 줄일 수 있을 전망이다.
9. 데스크톱형 클라우드 서비스 보안인증 본격 시행
행정·공공기관은 내부망·인터넷망의 분리를 위해 행정업무용 PC와 인터넷용 PC 등 2대를 별도로 운영해 왔으며, 이로 인해 비용 및 관리상의 비효율이 존재했다. 이에 따라 클라우드 기반의 데스크톱(DaaS, 컴퓨터 운용에 필요한 운영체제, 업무용 소프트웨어 등을 가상으로 제공하는 방식)을 제공해 효율성을 높인다. 또한, 기존 클라우드 보안인증제 대상에 이러한 가상 데스크톱을 추가해 공공기관 보안 요구사항에 맞출 계획이다.
10. 사물인터넷(IoT) 제품 보안인증 제도 개편
디지털 헬스케어, 자율주행차, 스마트 홈·가전, 스마트시티 등 산업 전반에 정보통신 융합 가속화로 일상생활에서 정보통신망에 연결되는 기기·설비·장비가 늘어나고 있다. ‘정보통신망연결기기 등’의 침해사고는 국민의 생명·신체·재산에 큰 피해로 이어질 수 있어 정보통신망연결기기에 대한 정보보호가 절실히 요구되는 상황이다.
이에 따라 과기정통부는 ‘정보통신망연결기기 등’의 범위를 기존의 전자기기뿐만 아니라 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등으로 확대하고, 정보통신망의 안정성을 확보하는 보호조치를 마련한다. 구체적으로 기존 ‘IoT 보안인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편해 올해 하반기부터 시행하고, 인증시험대행기관 지정, 인증기준 및 절차 마련 등 인증체계를 구축한다.
과기정통부 손승현 정보보호네트워크정책관은 “코로나 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다”고 밝혔다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
