CC인증제도 : 시험기관, 산업계, 민간 전문가연구반 구성해 8월까지 개선안 마련 시행
정보보호제품 성능평가 : 안티바이러스 제품(모바일) 악성코드 시료 2024년 1만건으로 확대
IoT 보안인증 : 인증 제품에 대해 보안인증 라벨링 부착해 출시될 수 있도록 준비중
[보안뉴스 김경애 기자] 최근 정보보호 정책에 있어 화두는 6개 법정 인증제도 개선이다. 개선되는 6개의 법정 인증제도는 △정보보호 관리체계인증(ISMS, 2002~), △클라우드 보안인증 (CSAP, 2016~), △정보통신망 연결기기 등 정보보호인증(IoT 2018~), △정보보호제품 평가인증(CC, 2002~), △정보보호제품 성능평가(2018~), △SW 품질인증(GS, 2001~)이다.
[이미지=gettyimagesbank]
정부의 개선방안 주요 골자는 기업의 인증획득 부담을 완화하기 위해 복잡한 인증 절차를 간소화하고, 비용 부담으로 작용한 수수료를 절감시키며, 인증시험 기간을 단축하겠다는 것으로, 이러한 내용을 담은 ‘정보보호‧소프트웨어 인증제도 개선방안’을 발표했다.
이에 <보안뉴스>는 △CC인증 △정보보호제품 성능평가 △IoT 보안인증과 관련해 구체적으로 어떻게 진행되는지 현재 진행된 인증제도 개선 추진 현황과 향후 계획을 들어보고, 간소화로 인한 보안성 약화에 대한 리스크는 없는지 과학기술정보통신부(이하 과기정통부) 정보보호산업과 정은수 과장과의 인터뷰를 통해 들어봤다.
1. CC인증
Q. 과기정통부에서 현재 진행 중인 CC인증의 개선사항이 궁금합니다.
CC인증 개선의 주요 골자는 평균 5개월 소요되는 시험기간을 2개월 내로 단축하고 신규 신청기업의 수수료를 2천만원으로 줄이는 것과 함께 산업계와 시험, 인증기관 간 연구반을 구성해 불요불급한 절차 등 개선방안을 추가로 마련함으로써 기업 부담을 경감하는 것입니다.
Q. 시험 인력을 단기간에 집중 투입해 시험 기간을 2개월로 단축한다고 했는데, 구체적인 방안은 무엇인가요?
기존 1명의 시험원을 투입해 해당 시험원이 계속해서 제품을 시험 평가하는 구조였으나, 2~3명의 시험원을 단기간에 집중 투입하는 방식으로 시험기간을 단축하려고 합니다.
Q. 인증 및 시험기관, 산업계, 민간 전문가가 포함된 연구반 구성(자격 기준 및 선발기준)은 어떻게 계획하고 있나요?
현재 CC인증 경험이 있는 기업체 정례 실무 모임이 있고(KCCUF), 여기에 한국정보보호산업협회를 비롯한 산업계 단체 및 인증제도에 조예가 깊은 학계 교수님 등이 참여해 개선방안을 마련하려고 합니다. 인증기관은 IT보안인증사무국(국가보안기술연구소), 시험평가기관은 총 6개 기관이 지정되어 있습니다.
Q. CC인증과 관련해 과기정통부에서 준비하고 있는 향후 계획과 시행일정이 궁금합니다.
8월까지 앞서 말씀드린 연구반을 통해 기업이 부담을 느끼고 있는 절차와 기준들에 대해 신속하게 개선안을 마련해 시행하고자 합니다.
Q. 우리나라는 CCRA에 가입되어 있고 국제 CC인증 절차를 모두 보유하고 있습니다. 일각에서는 국제적으로 인정받을 수 없는 국내 전용 CC인증을 별도로 운영해 국내 기업의 해외 진출이 더 어렵다는 의견도 있는데요. 어떻게 생각하시나요?
CC인증은 20년이 넘은 제도로서, 국내 CC는 과거부터 국내 정보보호 제품의 공공부문 도입 정책과도 연관이 되어 있는 사전인증제도입니다. 과거에는 국내 CC로 인해서 국내 보안산업이 내수‧공공시장을 집중적으로 공략해 안정적으로 성장했다는 평가도 있었어요.
그러나 최근 국내 산업이 많이 성장했기 때문에, 국내 CC인증에 대해서는 중소‧영세기업 부담을 줄이는 방향으로 개선하고, 해외진출을 활성화하기 위해 운영 중인 해외인증 획득 지원사업 등을 확대해 보안기업들이 국제 CC를 비롯한 다양한 국제인증 취득에 도전할 수 있도록 도움을 줄 예정입니다.
Q. 절차 간소화 개선 방향이 보안성이 검증되지 못한 제품이 도입될 수 있는 위험성 등 국내 공공기관의 보안성을 약화시킬 수 있다는 우려에 대해서는 어떻게 생각하시나요?
이번 개선방안은 보안수준은 유지하되, 불필요한 절차를 효율적으로 개편해 기업 부담을 줄인다는 기조에 따른 것으로, CC·성능평가 평가방식이 보안수준을 저하시키는 것과는 무관합니다. 따라서 시험 수수료 절감으로 인한 리스크는 없을 것으로 기대하고 있습니다.
2. 정보보호제품 성능평가
Q. 정보보호제품 성능평가와 관련해 구체적으로 진행된 사항은 무엇인가요?
성능평가는 기존에 수수료 평균 1,700만원, 시험소요기간 평균 1.5개월로 다른 정보보호 분야 인증에 비해 기업부담이 크지 않고 애로사항이 많이 접수되지는 않았습니다. 그럼에도 불구하고, 이번 개선방안을 통해 기업 수수료와 사전준비 컨설팅을 지원해 부담을 더욱 경감하고자 하는 것이 골자입니다.
Q. 성능평가 평가 항목 등에 대한 간소화도 진행되나요? 만약 그렇다면 어떤 항목이 빠지고 추가되는 등의 변화가 있나요?
평가 항목에 대한 간소화는 이번 개선방안에 포함되지 않았습니다.
Q. 정보보호제품 성능평가 제출물 작성의 어려움 해소를 위한 사전준비 컨설팅이 어떻게 운영되는지 구체적인 내용이 궁금합니다.
KISA에서 공모(4월 25일~5월17일)를 통해 현재 모집하고 있는데요. 신청기업의 규모, 제도 이해도 등 기준을 적용해 외부 전문가를 통해 객관적으로 선정할 방침입니다.
Q. 정보보호제품 성능평가와 관련해 과기정통부에서 준비하고 있는 향후 계획과 시행일정이 궁금합니다.
정보보호제품의 성능을 확인하기 위해서는 시료가 중요한데요. 그렇기 때문에 KISA 내 부서와의 협업을 통해 전년 대비 약 30% 악성코드를 추가 확보해 성능시험을 제공하려고 5월부터 준비하고 있습니다. 안티바이러스 제품(모바일)의 악성코드 시료는 2023년 7천건→ 2024년 1만건으로 확대됐습니다..
Q. 시험 수수료 절감으로 인한 리스크는 없나요? 평가방식이 변화되는 사항이 있는지 궁금합니다. 있다면 어떻게 변화되는 것인지요?
정보보호제품 성능평가 개선방안 역시 보안수준은 유지하되, 불필요한 절차를 효율적으로 개편해 기업부담을 줄인다는 기조입니다. 이에 따라 성능평가 공히 평가방식이 보안수준을 저하시키는 것과는 무관해 시험 수수료 절감으로 인한 리스크는 없을 것으로 기대하고 있습니다.
3. IoT 보안인증
Q. 현재 과기정통부에서 진행 중인 IoT 인증의 개선사항이 궁금합니다.
기존 인증제도 하에서는 IoT 기기 제조기업들은 색상 등 일부 변경에도 신규 인증을 받아야 했으나, 기업 부담을 완화하고, 다양한 모델이 출시되어 국민의 선택권을 강화할 수 있도록 파생모델 제도를 도입, 시험 기간(15일→1~2일) 및 수수료(13백만 원→0.7~1.4백만 원)를 개선하고자 합니다.
기 인증 받은 제품에 대한 색상, 간단한 디자인(사각형↔원형 등) 변경은 필수 보안 기능만 확인할 수 있도록 개선해 수수료 대폭 완화(6백만 원(라이트), 13백만 원(베이직) → 0.7(A형) ~ 1.4백만 원(B형))하게 됩니다.
▲과학기술정보통신부 정보보호산업과 정은수 과장[사진=과기정통부]
Q. 디자인, 색상, 필수 보안 기능 확인 등 파생모델 제도에 대한 구체적인 기준이 궁금합니다.
파생모델 A형은 기본 인증모델과 핵심 부품(펌웨어, PCB(회로), CPU, 네트워크(유/무선))의 형상이 동일한데요. 보안기능에 영향을 주지 않는 외형변경 제품(예: 색상 변경, 제품 라벨 변경 등)을 뜻합니다.
파생모델 B형은 기본 인증모델의 핵심 부품의 형상이 일부 변경(예: 통신, 센서 등 기능성 착탈 모듈 제거)으로 기 인증 제품과 동일하지 않으나, 보안에 영향이 없는 제품을 의미합니다.
Q. 파생모델 제도 도입으로 시험 기간을 15일->1~2일로 줄인다고 하셨는데, 어떻게 단축될 수 있는 있는지 구체적인 설명 부탁드립니다.
파생모델 유형에 따라 A형은 외형이 변경된 사항(색상, 제품라벨 등)에 대한 사실 확인을 위해 제품 내·외부 등에 대한 확인으로 갈음하고, B형은 최소한의 항목(3개)만 시험하도록 개선해 기업 부담을 완화할 수 있도록 했는데요. 기존 베이직은 약 15일이 소요됐다면 파생모델 A형은 1일 소요, B형은 2일 소요됩니다.
Q. 기존에 문제가 된 IP 카메라 해킹 이슈 등을 위한 인증 요소가 있는지 궁금합니다.
IP 카메라 관련 해킹 이슈는 주로 초기 비밀번호를 변경 등의 문제로 알고 있습니다. 국내에 유통하는 IP 카메라의 경우 KC 인증을 통해 비밀번호 초기 설정을 변경하도록 규정(단말장치 기술기준)을 개정해 보안을 강화하고 있습니다. 또한 IoT 보안인증에서도 비밀번호를 변경하도록 하는 항목(안전한 인증정보 사용)등을 통해 IP 카메라를 포함해 안전한 IoT 제품이 개발・출시될 수 있도록 했습니다.
Q. IoT 인증과 관련해 과기정통부에서 준비하고 있는 향후 계획과 시행 일정이 궁금합니다.
IoT 보안인증을 받은 제품에 대해 보안인증 라벨링을 부착해 출시될 수 있도록 준비하고 있습니다. 이를 통해 사용자들은 IoT 제품에 부착된 인증마크를 쉽게 확인할 수 있게 됩니다. 또한 IoT 보안 인증 라벨링에 대한 적극적인 홍보를 통해 IoT 보안인증 제품에 대한 국민 인식이 개선될 수 있도록 올해 하반기부터 적극 지원할 계획입니다.
[김경애 기자(boan3@boannews.com)]
정보보호제품 성능평가 : 안티바이러스 제품(모바일) 악성코드 시료 2024년 1만건으로 확대
IoT 보안인증 : 인증 제품에 대해 보안인증 라벨링 부착해 출시될 수 있도록 준비중
[보안뉴스 김경애 기자] 최근 정보보호 정책에 있어 화두는 6개 법정 인증제도 개선이다. 개선되는 6개의 법정 인증제도는 △정보보호 관리체계인증(ISMS, 2002~), △클라우드 보안인증 (CSAP, 2016~), △정보통신망 연결기기 등 정보보호인증(IoT 2018~), △정보보호제품 평가인증(CC, 2002~), △정보보호제품 성능평가(2018~), △SW 품질인증(GS, 2001~)이다.
[이미지=gettyimagesbank]
정부의 개선방안 주요 골자는 기업의 인증획득 부담을 완화하기 위해 복잡한 인증 절차를 간소화하고, 비용 부담으로 작용한 수수료를 절감시키며, 인증시험 기간을 단축하겠다는 것으로, 이러한 내용을 담은 ‘정보보호‧소프트웨어 인증제도 개선방안’을 발표했다.
이에 <보안뉴스>는 △CC인증 △정보보호제품 성능평가 △IoT 보안인증과 관련해 구체적으로 어떻게 진행되는지 현재 진행된 인증제도 개선 추진 현황과 향후 계획을 들어보고, 간소화로 인한 보안성 약화에 대한 리스크는 없는지 과학기술정보통신부(이하 과기정통부) 정보보호산업과 정은수 과장과의 인터뷰를 통해 들어봤다.
1. CC인증
Q. 과기정통부에서 현재 진행 중인 CC인증의 개선사항이 궁금합니다.
CC인증 개선의 주요 골자는 평균 5개월 소요되는 시험기간을 2개월 내로 단축하고 신규 신청기업의 수수료를 2천만원으로 줄이는 것과 함께 산업계와 시험, 인증기관 간 연구반을 구성해 불요불급한 절차 등 개선방안을 추가로 마련함으로써 기업 부담을 경감하는 것입니다.
Q. 시험 인력을 단기간에 집중 투입해 시험 기간을 2개월로 단축한다고 했는데, 구체적인 방안은 무엇인가요?
기존 1명의 시험원을 투입해 해당 시험원이 계속해서 제품을 시험 평가하는 구조였으나, 2~3명의 시험원을 단기간에 집중 투입하는 방식으로 시험기간을 단축하려고 합니다.
Q. 인증 및 시험기관, 산업계, 민간 전문가가 포함된 연구반 구성(자격 기준 및 선발기준)은 어떻게 계획하고 있나요?
현재 CC인증 경험이 있는 기업체 정례 실무 모임이 있고(KCCUF), 여기에 한국정보보호산업협회를 비롯한 산업계 단체 및 인증제도에 조예가 깊은 학계 교수님 등이 참여해 개선방안을 마련하려고 합니다. 인증기관은 IT보안인증사무국(국가보안기술연구소), 시험평가기관은 총 6개 기관이 지정되어 있습니다.
Q. CC인증과 관련해 과기정통부에서 준비하고 있는 향후 계획과 시행일정이 궁금합니다.
8월까지 앞서 말씀드린 연구반을 통해 기업이 부담을 느끼고 있는 절차와 기준들에 대해 신속하게 개선안을 마련해 시행하고자 합니다.
Q. 우리나라는 CCRA에 가입되어 있고 국제 CC인증 절차를 모두 보유하고 있습니다. 일각에서는 국제적으로 인정받을 수 없는 국내 전용 CC인증을 별도로 운영해 국내 기업의 해외 진출이 더 어렵다는 의견도 있는데요. 어떻게 생각하시나요?
CC인증은 20년이 넘은 제도로서, 국내 CC는 과거부터 국내 정보보호 제품의 공공부문 도입 정책과도 연관이 되어 있는 사전인증제도입니다. 과거에는 국내 CC로 인해서 국내 보안산업이 내수‧공공시장을 집중적으로 공략해 안정적으로 성장했다는 평가도 있었어요.
그러나 최근 국내 산업이 많이 성장했기 때문에, 국내 CC인증에 대해서는 중소‧영세기업 부담을 줄이는 방향으로 개선하고, 해외진출을 활성화하기 위해 운영 중인 해외인증 획득 지원사업 등을 확대해 보안기업들이 국제 CC를 비롯한 다양한 국제인증 취득에 도전할 수 있도록 도움을 줄 예정입니다.
Q. 절차 간소화 개선 방향이 보안성이 검증되지 못한 제품이 도입될 수 있는 위험성 등 국내 공공기관의 보안성을 약화시킬 수 있다는 우려에 대해서는 어떻게 생각하시나요?
이번 개선방안은 보안수준은 유지하되, 불필요한 절차를 효율적으로 개편해 기업 부담을 줄인다는 기조에 따른 것으로, CC·성능평가 평가방식이 보안수준을 저하시키는 것과는 무관합니다. 따라서 시험 수수료 절감으로 인한 리스크는 없을 것으로 기대하고 있습니다.
2. 정보보호제품 성능평가
Q. 정보보호제품 성능평가와 관련해 구체적으로 진행된 사항은 무엇인가요?
성능평가는 기존에 수수료 평균 1,700만원, 시험소요기간 평균 1.5개월로 다른 정보보호 분야 인증에 비해 기업부담이 크지 않고 애로사항이 많이 접수되지는 않았습니다. 그럼에도 불구하고, 이번 개선방안을 통해 기업 수수료와 사전준비 컨설팅을 지원해 부담을 더욱 경감하고자 하는 것이 골자입니다.
Q. 성능평가 평가 항목 등에 대한 간소화도 진행되나요? 만약 그렇다면 어떤 항목이 빠지고 추가되는 등의 변화가 있나요?
평가 항목에 대한 간소화는 이번 개선방안에 포함되지 않았습니다.
Q. 정보보호제품 성능평가 제출물 작성의 어려움 해소를 위한 사전준비 컨설팅이 어떻게 운영되는지 구체적인 내용이 궁금합니다.
KISA에서 공모(4월 25일~5월17일)를 통해 현재 모집하고 있는데요. 신청기업의 규모, 제도 이해도 등 기준을 적용해 외부 전문가를 통해 객관적으로 선정할 방침입니다.
Q. 정보보호제품 성능평가와 관련해 과기정통부에서 준비하고 있는 향후 계획과 시행일정이 궁금합니다.
정보보호제품의 성능을 확인하기 위해서는 시료가 중요한데요. 그렇기 때문에 KISA 내 부서와의 협업을 통해 전년 대비 약 30% 악성코드를 추가 확보해 성능시험을 제공하려고 5월부터 준비하고 있습니다. 안티바이러스 제품(모바일)의 악성코드 시료는 2023년 7천건→ 2024년 1만건으로 확대됐습니다..
Q. 시험 수수료 절감으로 인한 리스크는 없나요? 평가방식이 변화되는 사항이 있는지 궁금합니다. 있다면 어떻게 변화되는 것인지요?
정보보호제품 성능평가 개선방안 역시 보안수준은 유지하되, 불필요한 절차를 효율적으로 개편해 기업부담을 줄인다는 기조입니다. 이에 따라 성능평가 공히 평가방식이 보안수준을 저하시키는 것과는 무관해 시험 수수료 절감으로 인한 리스크는 없을 것으로 기대하고 있습니다.
3. IoT 보안인증
Q. 현재 과기정통부에서 진행 중인 IoT 인증의 개선사항이 궁금합니다.
기존 인증제도 하에서는 IoT 기기 제조기업들은 색상 등 일부 변경에도 신규 인증을 받아야 했으나, 기업 부담을 완화하고, 다양한 모델이 출시되어 국민의 선택권을 강화할 수 있도록 파생모델 제도를 도입, 시험 기간(15일→1~2일) 및 수수료(13백만 원→0.7~1.4백만 원)를 개선하고자 합니다.
기 인증 받은 제품에 대한 색상, 간단한 디자인(사각형↔원형 등) 변경은 필수 보안 기능만 확인할 수 있도록 개선해 수수료 대폭 완화(6백만 원(라이트), 13백만 원(베이직) → 0.7(A형) ~ 1.4백만 원(B형))하게 됩니다.
▲과학기술정보통신부 정보보호산업과 정은수 과장[사진=과기정통부]
Q. 디자인, 색상, 필수 보안 기능 확인 등 파생모델 제도에 대한 구체적인 기준이 궁금합니다.
파생모델 A형은 기본 인증모델과 핵심 부품(펌웨어, PCB(회로), CPU, 네트워크(유/무선))의 형상이 동일한데요. 보안기능에 영향을 주지 않는 외형변경 제품(예: 색상 변경, 제품 라벨 변경 등)을 뜻합니다.
파생모델 B형은 기본 인증모델의 핵심 부품의 형상이 일부 변경(예: 통신, 센서 등 기능성 착탈 모듈 제거)으로 기 인증 제품과 동일하지 않으나, 보안에 영향이 없는 제품을 의미합니다.
Q. 파생모델 제도 도입으로 시험 기간을 15일->1~2일로 줄인다고 하셨는데, 어떻게 단축될 수 있는 있는지 구체적인 설명 부탁드립니다.
파생모델 유형에 따라 A형은 외형이 변경된 사항(색상, 제품라벨 등)에 대한 사실 확인을 위해 제품 내·외부 등에 대한 확인으로 갈음하고, B형은 최소한의 항목(3개)만 시험하도록 개선해 기업 부담을 완화할 수 있도록 했는데요. 기존 베이직은 약 15일이 소요됐다면 파생모델 A형은 1일 소요, B형은 2일 소요됩니다.
Q. 기존에 문제가 된 IP 카메라 해킹 이슈 등을 위한 인증 요소가 있는지 궁금합니다.
IP 카메라 관련 해킹 이슈는 주로 초기 비밀번호를 변경 등의 문제로 알고 있습니다. 국내에 유통하는 IP 카메라의 경우 KC 인증을 통해 비밀번호 초기 설정을 변경하도록 규정(단말장치 기술기준)을 개정해 보안을 강화하고 있습니다. 또한 IoT 보안인증에서도 비밀번호를 변경하도록 하는 항목(안전한 인증정보 사용)등을 통해 IP 카메라를 포함해 안전한 IoT 제품이 개발・출시될 수 있도록 했습니다.
Q. IoT 인증과 관련해 과기정통부에서 준비하고 있는 향후 계획과 시행 일정이 궁금합니다.
IoT 보안인증을 받은 제품에 대해 보안인증 라벨링을 부착해 출시될 수 있도록 준비하고 있습니다. 이를 통해 사용자들은 IoT 제품에 부착된 인증마크를 쉽게 확인할 수 있게 됩니다. 또한 IoT 보안 인증 라벨링에 대한 적극적인 홍보를 통해 IoT 보안인증 제품에 대한 국민 인식이 개선될 수 있도록 올해 하반기부터 적극 지원할 계획입니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
