실시간 뉴스



'보안인증 패스트트랙' 신속확인제 도입…스타트업, 공공 공략 "숨통 트였다" [데이터링]


'정부→민간' 보안인증 패러다임 전환…"3개 기업 신속확인 대상 해당"

[아이뉴스24 김혜경 기자] "기업이 혁신 제품을 개발해도 기존 보안인증 제도에 평가 기준이 없어 도입이 지연되거나 복잡한 검증을 거쳐야 하는 경우가 많았다. 혁신을 유도하는 데 한계가 있었을 뿐만 아니라 신·변종 사이버 위협에 제대로 대응하지 못했던 상황이다. 신속확인제가 자리잡을 경우 보안 스타트업이 큰 수혜를 입을 것으로 보고 있다,"

22일 서울 교대역 인근에서 열린 과학기술정보통신부 기자간담회에서 김정삼 정보보호네트워크정책관이 신속확인제 도입 취지에 대해 설명하고 있다. [사진=김혜경 기자]
22일 서울 교대역 인근에서 열린 과학기술정보통신부 기자간담회에서 김정삼 정보보호네트워크정책관이 신속확인제 도입 취지에 대해 설명하고 있다. [사진=김혜경 기자]

22일 서울 서초역 인근에서 열린 과학기술정보통신부 기자간담회에서 김정삼 정보보호네트워크정책관은 신속확인제 도입 취지에 대해 이 같이 전했다.

현재 운영 중인 공통평가기준(CC) 인증 제도는 국가용 보안 요구사항이 마련된 정보보호 제품에 대해서만 인증절차를 진행할 수 있다. 기존 제도에 없는 신기술‧융복합 제품은 공공시장 도입이 어려웠던 셈이다. 앞서 과기정통부는 지난 8월 국정현안점검조정회의에서 '정보보호 규제개선 추진상황·계획'을 발표한 바 있다.

신속확인제의 법적 근거는 '정보보호시스템 평가‧인증 등에 관한 고시'다. 해당 고시는 지난달 31일자로 시행됐다. 제18의2항에 따르면 신속확인이란 국가용 보안요구사항 또는 보호프로파일이 마련돼 있지 않아 평가를 수행할 수 없는 신기술‧융복합 제품에 대해 취약점 점검, 소프트웨어 보안약점 진단‧기능 시험 결과를 바탕으로 신속하게 보안성 등을 심의하는 행위다.

신속확인기관인 한국인터넷진흥원(KISA)은 기업이 요청한 제품이 CC인증과 성능평가, 보안기능확인서 등 기존제도에서 평가 가능한지 검토한 후 신속확인 대상 여부를 통보한다. 신속확인 대상인 기업은 보안 점검‧기능 시험 기관으로부터 취약점 점검, 소스코드 보안약점 진단을 받아야 한다.

준비 작업을 마친 기업은 보완 조치를 거쳐 6개월 이내 발급받은 보안점검 결과서 등을 KISA에 제출하고, 과기정통부 신속확인심의위원회는 신청서류를 바탕으로 제품의 신속확인 여부를 결정한다. 심의위원회 결과가 적합할 경우 KISA는 신속확인서를 발급한다. 유효기간은 2년이며 연장 가능하다.

기존 제도에서 신속확인 제품에 대한 평가기준이 마련될 경우 연장은 불가능하고 유효기간 만료 후 종료된다. 발급받은 신속확인서의 효력은 유지되는 셈이다.

신속확인 절차. [사진=과기정통부]
신속확인 절차. [사진=과기정통부]

김선미 KISA 보안인증단 팀장은 "보안 점검과 기능 시험 기관은 100여개 정도 되는데 현재 신속확인제 관련 시험기관으로 참여 의사를 밝힌 곳은 43곳 정도"라면서 "현재 신속확인 인증 관련 문의를 한 기업은 10곳이고 이중 3개사 제품이 신속확인 대상에 해당된다"고 말했다.

이날 간담회에서 정호준 한국정보보호산업협회(KISIA) 정책연구팀장은 신속확인제 적용이 가능한 제품 사례로 제로 트러스트(Zero-Trust) 기반 통신 제어 솔루션 '프라이빗커넥트'와 블록체인 기반 다계층 PC 로그인 보안솔루션 '카인드 로그바이저'를 들었다.

정 팀장은 "프라이빗커넥트는 구간암호화 제품군으로 CC 인증이 가능했던 가상사설망(VPN)과 다른 '소프트웨어 정의 경계(SDP)' 제품"이라며 "특정 네트워크 영역과 특정 응용프로그램에 대한 접속 권한을 부여함으로써 사용자 인증·권한 부여를 수행한다"고 말했다.

이어 "카인드 로그바이저의 경우 엔드포인트 제품군"이라며 "기존 제품유형에는 운영통제 접근통제, 문서암호화 등은 있지만 다중 로그인 제품은 없으므로 신속확인제 대상제품에 해당된다"고 덧붙였다.

최광희 KISA 디지털보안산업본부장은 "투명성을 높였다는 것도 특징"이라며 "정부 주도의 획일적 평가 제도에서 민간 주도로 전환했다는 점에서도 의의가 있다"고 말했다.

/김혜경 기자(hkmind9000@inews24.com)






alert

댓글 쓰기 제목 '보안인증 패스트트랙' 신속확인제 도입…스타트업, 공공 공략 "숨통 트였다" [데이터링]

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스