클라우드 보안인증 등급제도 도입한다

앞으로 클라우드 시스템의 중요도에 따라 등급별로 차등화한 보안인증 기준이 적용된다. 보안인증 기준이 없는 신기술, 융·복합 보안 제품은 신속확인제도를 통해 공공기관에 공급할 수 있게 된다.

과학기술정보통신부는 18일 국정현안점검조정회의에서 이 같은 내용의 '정보보호 규제 개선 추진 상황과 계획'을 발표했다. '클라우드 보안인증 등급제도'는 클라우드 시스템의 중요도 기준을 3등급으로 구분하고, 사이버 안보가 저해되지 않도록 등급별로 차등화한 보안인증 기준을 적용하는 게 골자다.

현재 적용하고 있는 클라우드 보안인증 평가 기준은 보완완화한다. 민감정보 등을 다루는 클라우드는 보안성을 높이고, 보안 위험이 상대적으로 낮은 공개데이터를 다루는 클라우드는 인증 부담을 완화한다.

정보보호 제품은 기존 보안인증 기준이 없는 신기술 및 융·복합 제품을 공공 시장에 신속하게 공급할 수 있도록 신속확인제를 추진한다. 신청 기업은 정보보호 전문서비스 기업으로부터 취약점 점검, 소스코드 보안약점 진단을 받아 그 결과에 따라 보완 조치하는 사전준비를 거쳐 신속확인심의위원회의 보안성 심사를 통과해야 한다.

신속확인 제품은 2년마다 연장할 수 있으며, 앞으로 보안인증 기준(국가용 또는 일반 보안요구사항 등)이 마련되면 정식인증을 받아야 한다.

국가정보원은 외교·국방 등 민감한 기관을 제외한 수요 기관이 신속 확인받은 제품을 도입할 수 있도록 보안적합성 검증체계를 개선할 방침이다. 과기정통부는 이달 중 정보보호시스템 평가·인증 지침 개정을 위한 행정예고를 거쳐 4분기 신속확인제를 시행할 계획이다.

현재 공공 분야에서는 정보보호 제품을 도입할 때 평가 기준이 있는 20여종만 도입이 가능하다. 기준이 없는 신기술과 융·복합 제품은 기준 개발과 평가에 시간이 걸려 사이버위협 대응에 어려움이 있었다.

이와 함께 과기정통부는 국가 위성으로 촬영한 위성영상의 신속한 배포를 위해 위장 처리 등 사전 보안 처리가 필요한 위성영상 해상도 기준을 현행 4m에서 1.5m로 완화한다. 15년 만의 규제 완화다. 보안처리 필요 시설을 포함하지 않고 보정하지 않은 좌표를 포함한 위성영상은 온라인 배포도 가능해진다.

이외에 22일부터 한국정보통신기술협회의 보안인증 시험을 받으면 웨어러블캠 등 무선영상전송장비를 공공부문에 도입할 수 있도록 했다. 기존에는 보안인증기준이 마련된 고정형·유선영 CCTV와는 달리 무선영상전송장비는 보안인증기준이 없어 공공기관 도입이 어려웠다.

과기정통부는 6월 열린 '투자애로 규제개선 현장간담회' 등을 통해 기업 의견을 중심으로 개선할 규제를 취합했다. 관련 부처는 국무총리실을 중심으로 규제 개선에 착수했다. 한덕수 국무총리가 국가정보원을 포함한 관계부처의 종합적 검토가 필요한 규제를 직접 챙기는 가운데 장관급 회의가 진행됐다. 관계부처 장관급 회의를 실무진 협의 이후 장관급 회의를 개최하는 통상적 방식과 달리 국무총리가 직접 관계부처 장관과 논의에 착수한 이례적 사례다.


정보보호 규제 개선 주요 내용

클라우드 보안인증 등급제도 도입한다


최호기자 snoop@etnews.com, 안호천기자 hcan@etnews.com