• 최종편집 2024-03-28(목)
 

26.png

 

 

[시큐리티팩트=김상규 기자] 과학기술정보통신부는 18일 국정원 등 관계부처 협의 및 산업계, 전문가 등의 의견수렴을 거쳐 클라우드컴퓨팅서비스 및 정보보호제품 보안인증 제도 개선 등 ‘정보보호 규제개선 추진상황 및 계획’을 발표했다.


이번 계획에 따르면, 과기정통부는 국가기관 등에서 혁신적, 효율적 민간 클라우드 이용이 확대될 수 있도록 기존의 획일적 보안인증 체계에서 클라우드로 사용될 시스템의 중요도 기준으로 3등급 구분하고 사이버 안보가 저해되지 않도록 등급별로 차등화된 보안인증기준을 적용하는 ‘클라우드 보안인증 등급제’를 도입한다.


평가기준 또한 완화한다. 현재 적용 중인 클라우드 보안인증 평가기준을 보완・완화하여 민감정보 등을 다루는 클라우드에 대해서는 보안성을 높이고, 보안 위험이 상대적으로 낮은 공개데이터를 다루는 클라우드에 대해서는 부담을 완화하는 등 합리적으로 개선한다.


세부적인 방안은 디지털플랫폼정부위원회와 관계기관 등이 협업하여 산학연관 등 이해관계자 의견 수렴을 거쳐 마련하고, 향후에도 디지털플랫폼정부위원회를 통해 현장 적용을 지속 모니터링하고, 추가 개선사항을 발굴하여 규제 개선 효과를 극대화해 나갈 예정이다.

 

과기정통부는 정보보호제품 보안인증제도 개선을 위해 신속확인제를 도입키로 했다.


공공 분야에 정보보호제품 도입 시 평가기준이 있는 20여종만 도입이 가능하고, 기준이 없는 신기술 및 융·복합 제품은 기준 개발 및 평가에 장시간 소요되어 급변하는 사이버위협 대응에 어려움이 있었다. 이에 공통평가기준(CC, Common Criteria) 인증, 보안기능확인서, 성능평가 등 기존 보안인증 기준이 없는 신기술 및 융·복합 제품을 공공 시장에 신속하게 공급할 수 있도록 신속확인제 도입을 추진한다.


신청 기업은 정보보호 전문서비스 기업으로부터 취약점 점검 및 소스코드 보안약점 진단을 받아 그 결과에 따라 보완 조치하는 사전준비를 거쳐 신속확인심의위원회의 보안성 심사를 통과해야 한다. 신속확인제품은 2년마다 연장할 수 있으며, 향후 보안인증 기준(국가용 또는 일반 보안요구사항 등)이 마련되면 정식인증을 받아야 한다.


이와 함께 국정원도 외교·국방 등 민감한 기관을 제외한 수요기관이 신속확인을 받은 제품을 도입할 수 있도록 보안적합성 검증체계를 개선할 방침이다. 8월 중 정보보호시스템 평가·인증 지침(과기정통부 고시) 개정을 위한 행정예고를 거쳐 4분기에 신속확인제 시행을 목표로 하고 있으며, 국정원도 이번 규제개선 방안에 따라 국가 정보보안 기본 지침을 개정할 예정이다.


과기정통부는 제도 시행 전에 국내 정보보호기업들을 대상으로 신속확인 신청 방법, 운영절차 등을 안내하는 설명회를 개최할 예정이다. 이번 제도 개선으로 신기술 및 융・복합 제품을 대상으로 2~3개월 신속확인 절차를 거쳐 공공시장에 적기 공급이 가능하여 공공 분야에서 발생하는 신규 보안위협에 신속하게 대응 가능할 것으로 기대된다.


이종호 과기정통부 장관은 “이번 보안 관련 규제개선은 산업계가 오랫동안 요청해왔던 사항으로 산업계 의견을 반영하여 마련했다. 이번 규제개선을 통해 민간의 혁신적인 신기술 개발을 촉진하고, 이를 통해 공공서비스의 혁신과 안전한 디지털플랫폼정부 구현이 기대된다”라며,


“향후에도 과기정통부는 산업계와 이해관계자의 추가적인 의견을 수렴하여 지속적인 규제개선을 통한 시장과 기업의 혁신이 이어지도록 노력을 기울이겠다”라고 밝혔다.

 


태그

전체댓글 0

  • 60798
비밀번호 :
메일보내기닫기
기사제목
클라우드 보안 인증 등급별 차등화 적용…과기정통부, 3등급으로 구분
보내는 분 이메일
받는 분 이메일