과기정통부, CC인증 등 정보보호 제도·지원사업 전면 개편

과기정통부 '달라지는 제도·사업' 발표
컨설팅 대상 기업 300→600곳 확대
국내용 CC 인증 유효기간 2년 늘리고
ISMS-P 심사 비용·기간 30% 경감

게티이미지뱅크
게티이미지뱅크

정부가 정보통신기술(ICT) 중소기업 정보보호 안전망 확충에 나선다. 정보보호제품 평가·인증 부담도 완화키로 했다. 과학기술정보통신부는 7일 이 내용을 골자로 한 '2021년 달라지는 정보보호 제도와 지원사업'을 발표했다.

개선안은 크게 중소기업·국민 보안 강화 지원과 정보보호 인증 부담 경감 등 두 가지 축을 중심으로 마련됐다. △정보통신기술(ICT) 중소기업 정보보호 안전망 확충 △정보보호제품 평가·인증 부담 완화 △정보보호관리체계(ISMS) 간편 인증 신설 등을 주요 내용으로 총 10개로 구성됐다.

우선 ICT 중소기업이 랜섬웨어 방지 솔루션 등을 지원받도록 '정보보호 컨설팅 및 보안제품 도입 지원' 사업 대상 기업을 300개에서 600개로 확대한다. 지원 금액도 기업당 1000만원에서 1500만원으로 확대한다. 정보보호 전담인력이 부족해 보안제품을 운용하기 어려운 중소기업 670곳에는 클라우드 보안 서비스 이용비용(최대 500만원)을 신규 지원한다.

공통평가기준(CC) 인증 개선안도 포함됐다. 신생기업을 중심으로 CC인증제도 기본 교육을 실시하고 기업이 보안취약점을 자발적으로 점검하도록 소스코드 자가진단 소프트웨어(SW)를 무상으로 이용하도록 지원한다. 현재 6개 CC인증 평가기관별로 분산 수행되는 평가자 양성 교육은 한국인터넷진흥원(KISA)으로 통합한다. 한국정보보호산업협회(KISIA)에는 CC인증 평가 현황을 원스톱으로 볼 수 있는 통합정보 안내사이트도 개설한다.

특히 CC인증 재평가 기준을 완화했다. 보안 패치로 인한 기능 변경은 재평가 대신 간단한 확인(변경 승인)으로 대체, 기존 평가 대비(EAL2 기준) 비용은 6분의 1 수준(약 3000만원에서 약 500만원으로 감소), 기간은 12분의 1수준(대기기간 포함 약 9개월에서 약 3주 이내로 단축)으로 대폭 줄인다. 국내용 CC인증 유효기간은 3년에서 5년으로 확대한다.

ISMS-P 간편인증도 신설됐다. 기존 ISMS 인증을 영세·중소기업 규모에 적합하도록 경량화했다. 인증심사에 소요되는 비용과 시간을 기존 대비 30% 이상 경감(연간 비용 2180만→1526만원, 기간 5.5→4개월)한다.

이외에도 △5세대(5G) 이동통신 핵심 서비스 보안 테스트 환경 본격 운영 △SW 개발보안 취약점 점검 서비스 신설 △인공지능(AI) 기술 기반 보안기업 육성(매년 20개 선발) △사이버위협 빅데이터 개방·공유 확대(분야별 위협정보 빅데이터 약 10억건 확충, 수요 기반 맞춤형 데이터셋 구축·공유) 등이 함께 실시된다.

'내 PC 돌보미 서비스'는 기존 신청자 중심에서 디지털 취약계층 대상 '찾아가는 보안점검 서비스'로 확대 실시한다. 사물인터넷(IoT) 기기 등으로 보안 점검 대상을 확대하고 보안 점검 인력도 증원한다. 공공기관이 보안요구사항이 적용된 가상PC를 통해 인터넷용 PC를 따로 둘 필요가 없도록 기존 클라우드 보안인증제에 서비스형데스크톱(DaaS)을 추가 시행한다.

정보통신망 연결기기에 의한 침해사고 예방 방안도 담겼다. 기존 IoT 보안인증을 정보통신망 연결기기 정보보호 인증으로 개편해 하반기부터 시행하고 인증시험 대행기관 지정, 인증기준과 절차 마련 등 인증체계를 구축한다.

손승현 과기정통부 정보보호네트워크정책관은 “코로나19 위기로 어려움을 겪는 국민과 기업이 정보보호 정책 개선을 체감하도록 관련 대책을 차질 없이 추진하고 제도 개선사항을 지속 발굴, 추진하겠다”고 말했다.

오다인기자 ohdain@etnews.com