2021년, 달라지는 정보보호 제도와 지원사업

댓글 0

판교핫뉴스

2021. 1. 7.

2021, 달라지는 정보보호 제도와 지원사업

 

작성일 2021-01-07 부서 사이버침해대응과, 정보보호산업과 2021-01-07

 

 


2021년, 디지털 뉴딜 성공을 뒷받침할
정보보호 제도와 지원 사업

□ 2021년, 정보보호 제품 도입지원을 받는 중소기업이 1,270개까지 확대되고, 전국민 인터넷PC를 원격에서 보안 점검하는 “내PC 돌보미 서비스”가 확대된다.

□ 과학기술정보통신부(장관 최기영, 이하 ‘과기정통부’)는「ICT 중소기업 정보보호 안전망 확충」,「정보보호제품 평가․인증 부담완화」,「정보보호관리체계(ISMS) 간편 인증 신설」등 중소기업 정보보안 강화와 안전한 정보보호 제품 이용 촉진을 위한 “2021년, 달라지는 정보보호 제도와 지원 사업”의 주요 내용을 발표하였다.

< 중소기업 · 국민 보안강화 지원 >

❶ ICT 중소기업 정보보호 안전망 확충

□ 국내 업체들은 공격당할 경우 돌이킬 수 없는 피해를 입게 되는 랜섬웨어를 가장 많이 경험하고(54%), ‘필요한 정보보호 제품 및 서비스 찾기가 어려움’을 애로사항(1위)으로 호소하고 있다.(정보보호실태조사, 2019년)


□ 이에 따라, ICT중소기업이 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 ’정보보호 컨설팅 및 보안제품 도입 지원’ 사업의 대상 기업을 300개에서 600개로 확대하고, 지원 금액을 기업 당 1,000만원에서 1,500만원으로 확대한다.

o 또한, 정보보호 전담인력이 부족해 보안제품을 운용할 수 없는 중소기업 670개를 대상으로 클라우드보안 서비스 이용 비용(최대 500만원 상당)을 신규 지원한다.

※ (클라우드보안 서비스) 매월 일정 금액을 지불하고 실시간으로 이메일 보안, 악성코드 탐지 등 보안 조치를 제공받는 서비스

❷ 5G 핵심서비스 보안테스트 환경 본격운용

□ ICT 생태계가 5G, IoT 등을 기반으로 하여 급속도로 변화하고 있으며, 해킹 등 사이버위협도 날로 지능화되고 있는 실정이다.

o 국민 생활과 밀접한 5G 5대 핵심서비스* 분야별로 보안위협 대응·예방이 절실히 요구되고 있음에도 불구하고 관련 보안제품에 대한 안전성을 실증할 수 있는 도구 및 공간이 부족한 상황이다.

* 스마트 공장, 자율주행차, 스마트시티, 디지털헬스케어, 실감콘텐츠

□ 이에 따라, 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업하여 보안기술을 검증하고 기기·플랫폼의 보안성을 테스트할 수 있는 ‘융합보안 리빙랩’을 전국 5개 지역*에 본격 운용한다.

o 융합보안 리빙랩 이용을 희망하는 중소기업(제조·솔루션·보안기업 등)은 예약**한 후 무료로 이용할 수 있다.

* 스마트공장:스마트제조혁신센터(안산), 자율주행차:자동차융합기술원(군산),
스마트시티:센텀기술창업타운(부산), 디지털헬스케어:원주의료기기테크노벨리(원주), 실감콘텐츠:디지털콘텐트기업성장지원센터(안양)

** 리빙랩 이용 예약 문의(이메일): cslivinglab@kisa.or.kr


❸ 소프트웨어 개발보안 취약점 점검서비스 신설

□ 안전하지 않은 소프트웨어는 해킹 등 사이버 위협의 공격 대상이 되고 침해사고 발생 시 국민의 소중한 개인정보 탈취, 기업의 주요 정보자산 유출 등 그 피해가 심각하게 나타날 수 있지만,

o 보안투자 여력이 부족한 중소기업이 안전한 소프트웨어를 만들기 위한 시간과 비용의 문제, 고가의 소프트웨어 취약점 진단도구 이용 등 많은 어려움이 있다.

□ 이에 따라, 중소기업이 소프트웨어 개발 단계부터 보안을 적용할 수 있도록 소프트웨어 보안취약점 점검을 지원*하고, 기업이 고가의 취약점 진단도구를 이용할 수 있도록 소프트웨어보안 진단체계**를 운영하겠습니다.

* 보안투자 여력이 부족한 중소기업 대상 소프트웨어 개발보안 진단 실시
(’21년 50개 → ’22년 350개 → ’23년 700개 등 총 1,100여 개 기업 지원)

** 취약점 진단도구와 진단 전문가가 상주하여 SW보안취약점 점검 지원

❹ 인공지능(AI) 기술 기반의 보안기업 육성

□ 사이버공격이 대규모·지능화되면서 인공지능을 활용한 보안 제품·서비스 개발은 더 이상 미룰 수 없는 과제가 되었다.

o 세계 정보보호 시장은 인공지능 기반으로 전환을 서두르고 있지만, 국내 정보보호 기업들은 인력, 예산 및 데이터 부족으로 어려움을 겪고 있는 상황이다

□ 이를 해결하기 위해, 인공지능 기반의 보안 제품·서비스를 개발하고자 하는 기업을 매년 20개 선발하여 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성하도록 지원한다.

o 또한 개발된 제품을 해외로 수출할 수 있도록 지원해 글로벌 경쟁력을 갖춘 기업을 육성한다.

❺ 사이버위협 빅데이터 개방・공유 확대

□ 최근 확산하고 있는 비대면 환경과 함께 지능화·고도화하는 사이버 위협에 능동적으로 대응하기 위해서는 무엇보다 사이버위협 정보에 대한 빅데이터 분석을 기반으로 한 다양한 접근이 필요한 상황이나,

o 사이버 보안 분야의 AI개발에 필요한 사이버위협 빅데이터 정보가 부족하고 데이터 구축에 많은 시간과 비용이 소요되는 중소·벤처 기업에게 큰 부담으로 작용하고 있다.

□ 이에 따라, 보안위협 정보의 수집 대상과 규모(비대면·지능정보 서비스 분야)를 확대하여 분야별 위협정보 빅데이터를 확충(약 10억건)하고, 이를 기반으로 수요기반 맞춤형 데이터셋*을 구축·공유하여 민간 보안 제품의 검증 및 연구 등에 적극 활용할 수 있도록 온라인 사이버위협 빅데이터 활용 환경**을 제공한다.

* 산·학·연 전문가 수요조사를 통해 정보보호 기술개발, 제품 기능향상 등 사이버보안 활용가치가 높은 AI학습용 빅데이터

** 시간·장소에 제약 없이 누구나 자유롭게 위협정보 활용 및 AI·빅데이터 분석이 가능한 온라인 분석환경

❻ 내 PC 돌보미 서비스 확대

□ 코로나19 지속으로 언택트 문화가 자리 잡으며 쇼핑, 게임, 교육 등 온라인 활동이 증가하면서 해킹에 의한 개인정보 탈취 등 사이버 공격 위협도 함께 증가하고 있어,

o 정부는 지난해 9월부터 디지털 뉴딜의 K-사이버방역 구축의 일환으로 전국민 인터넷PC를 대상으로 보안전문가가 원격에서 무료로 보안점검 해주는『내 PC 돌보미 서비스*』실시(’20.9월)하고 있다.

※ 운영체제 및 S/W 보안 업데이트, 해킹 프로그램 유무 점검·조치, 백신 미탐지 바이러스 제거 등 보안 취약점 점검·조치 서비스(☞ KISA 보호나라 → 보안서비스 → 내PC 돌보미(PC 원격 보안점검) 신청)

□ 금년부터는 특히 고령층, 장애인 등 정보보호 실천이 어려운 디지털 취약계층을 대상으로 직접 방문하여 서비스를 제공하는 ‘찾아가는 보안점검 서비스*’로 사회적 가치를 실현할 계획이다.

* 아동·장애인 등 복지시설, 농어촌 등 복지단체, 경제적 취약 등 교육 사각 계층을 대상으로 서비스 신청 이전에 먼저 안내하고 현장 점검 서비스 제공

o 아울러, 기존 인터넷PC 중심의 보안점검 서비스에서 테블릿PC, 공유기 등 IoT기기로 보안점검 대상을 확대하고 보안점검 전문 인력도 증원(54명→84명, 55%↑)하여 국민이 원하는 시간대에 불편 없이 서비스를 이용할 수 있도록 지원한다.

< 정보보호 인증부담 경감 >

❼ 정보보호 제품 인증·평가 기준 완화

□ 정보보호기업이 정부․공공에 백신, 방화벽 등 정보보호제품을 납품하기 위해서 정보보호제품 평가․인증(CC인증)을 필수적으로 받아야 하지만, 신생기업의 경우 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움을 겪고 있다.

o 또한, 올해의 경우 평가 수요가 많아 평가 적체가 심화됐고, 재인증 시 간단한 보안패치만 하더라도 최초 평가에 준하는 평가(재평가)를 받아야 해 CC인증에 많은 기업부담이 있다.

□ 이러한 정보보호기업의 부담을 경감하기 위해 신생기업을 중심으로 CC인증제도 기본교육을 실시하고 기업이 자발적으로 보안취약점을 점검할 수 있도록 소스코드 자가진단 S/W를 무상으로 이용할 수 있도록 지원한다.

o 또한, 현재 6개 CC인증 평가기관별로 분산적으로 이루어지는 평가자 양성을 통합하여 한 곳에서 평가자 양성 교육을 지원(KISA)하고, 한 곳에서 원스톱으로 CC평가 현황정보를 볼 수 있도록 통합정보 안내사이트도 개설(KISIA)한다.

o 보안패치로 인한 기능변경*은 재평가 대신 간단한 확인(변경승인)으로 대체하여 기존 평가 대비(EAL2 기준) 비용은 1/6 수준(약 3천만원→약 5백만원), 기간은 1/12 수준(약 9개월(대기기간 포함)→약 3주 이내)으로 대폭 줄이고, 국내용 CC 인증서 유효기간을 확대(3년→5년)하여 평가부담을 경감한다.

* (대상) Apache Tomcat, Apache HTTP Server 등 공개용 S/W(오픈소스) 55종

❽ 정보보호관리체계(ISMS) 간편 인증 신설

□ 현재 정보보호관리체계 인증(ISMS*)은 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계되어, 일정 정보보호체계를 가진 영세·중소기업이 ISMS인증을 원해도 시간과 비용부담으로 어려움이 있었다.

* ISMS(Information Security Management System) 정보통신망의 안전성·신뢰성 확보를 위하여 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합적 관리체계

□ 이에 따라, 영세·중소기업 규모에 적합하도록 정보보호 관리 활동에 필수적 요소*를 마련하여 영세·중소기업이 자발적 정보 보호 수준 향상 활동을 높이고, 정보보호 사각지대를 해소할 수 있도록 경량화한 “ISMS-P 간편 인증” 제도를 신설한다.

* 정보보호 관련 정책, 조직, 자산 관리 등 관리·기술적 요소 등

o 인증 기준이 간소화됨에 따라 인증심사에 소요되는 비용과 시간을 30% 이상 경감(비용 2,180만원 → 1,526만원/년, 기간 5.5개월 → 4개월/년)할 수 있을 것으로 기대된다.

❾ 데스크톱형 클라우드서비스 보안인증 본격 시행

□ 행정․공공기관은 내부망․인터넷망의 분리를 위해 행정업무용 PC와 인터넷용 PC 등 2대를 별도로 운영하여 비용, 관리상의 비효율이 존재하였다.

□ 이에 따라, 공공기관에서 인터넷전용 PC를 따로 둘 필요가 없으며, 공공기관 보안요구사항이 적용된 안전한 인터넷용 가상PC를 이용할 수 있도록 기존 클라우드 보안인증제 대상 분야에 서비스형데스크톱(DaaS)*을 추가하여 시행한다.

* 데스크톱 구현에 필요한 운영체제(OS), 각종 업무용 애플리케이션(앱) 등을 클라우드 방식으로 제공하는 서비스

❿ 사물인터넷(IoT) 제품 보안인증 제도 개편

□ 디지털 헬스케어, 자율주행차, 스마트 홈·가전, 스마트시티 등 산업 전반에 정보통신 융합 가속화로 일상생활에서 정보통신망에 연결되는 기기·설비·장비가 늘어나고 있다.

o ‘정보통신망연결기기 등’의 침해사고는 국민의 생명·신체·재산에 큰 피해로 이어질 수 있어 정보통신망연결기기에 대한 정보보호가 절실히 요구되는 상황이다.

□ 이에 따라, ‘정보통신망연결기기 등’의 범위를 8개 분야*로 규정하였으며, 정보통신망의 안정성을 확보하는 보호조치를 마련한다.

* 8개 분야: 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신

o 구체적으로 기존 ‘IoT 보안인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편하여 올해 하반기부터 시행하고, 인증시험대행기관 지정, 인증기준 및 절차 마련 등 인증체계를 구축한다.

□ 과기정통부 손승현 정보보호네트워크정책관은 디지털 뉴딜 성공을 뒷받침하고 “코로나 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다.”라고 밝혔다.

붙임1 2021년, 달라지는 정보보호 제도와 지원 사업 참고자료
1 ICT 중소기업 정보보호 안전망 확충


(현장의 목소리) “정보보호의 중요성은 알고 있지만, 필요한 정보보호 제품 및 서비스를 찾기도 어렵고 보안관련 예산 확보 또한 쉽지 않습니다.”
- OO기업 정보보호 담당자-

문제점 ∙ 국내 기업의 99%가 중소기업이고 이중 80%가 지역에 위치하나,

- 정보보호 기업은 수도권에 78%가 집중되어, 지역별 정보보호 수준 격차를 해소해달라는 목소리가 커지고 있습니다.

∙ 또한, 국내 기업 中 54%가 침해사고 경험 유형으로 랜섬웨어가 가장 많이 차지했습니다.
(2019 정보보호 실태조사)

개선방안 ∙ 더 많은 ICT중소기업이 지원받을 수 있도록 지원대상을 늘리고, 랜섬웨어와 해킹피해 방지를 돕기 위한 보안솔루션 도입 비용을 최대 1,500만원까지 확대합니다.
※ (지원기업수) ’20년 300개 → ’21년 600개
(최대지원금액) ’20년 1,000만원 → ’21년 1,500만원

∙ 정보보호 전담인력이 부족한 ICT영세기업을 대상으로 유지보수가 용이한 클라우드 보안서비스를 새롭게 지원합니다.

- 자동 진단 도구를 이용해 정보보호 수준을 자체점검하고, 보완이 필요한 사항을 클라우드 보안서비스를 통해 지원받을 수 있습니다.
※ (신규지원) 총 670개 기업, 최대 500만원 상당의 서비스
※ 이행점검 등을 통해 취약점이 제거되었는지 사후 점검도 해드립니다.

기대효과 ∙ ICT영세·중소기업의 정보보호 수준을 제고해 랜섬웨어나 해킹 피해를 근본적으로 방지할 수 있도록 지원합니다.

∙ 정보보호 컨설팅, 보안솔루션 도입으로 정보보호 산업 활성화에 기여합니다.

시행예정일 ∙ '21년 4월: 지역 ICT중소기업 정보보호 컨설팅‧솔루션 지원 개시





2 스마트공장, 자율주행차 등 5G+ 핵심서비스 보안테스트 환경 신규제공



(현장의 목소리)
“중소기업이 5G+ 5대 핵심서비스 분야별로 쉽게 보안을 테스트할 수 있는 환경이 필요합니다.”
- 중소기업 보안업체 -

문제점 ∙ 5G+ 핵심서비스는 스마트시티, 디지털헬스케어 등 국민 생활과 밀접하므로 5대 핵심서비스 분야별로 보안위협 대응·예방 체계가 필요합니다.

∙이러한 보안취약점을 파악·분석·대응할 수 있도록 기업들이 개발한 보안모델을 실증할 수 있는 도구나 공간이 없습니다.

개선방안 ∙ 5G+의 5대 핵심서비스 분야별로 융합보안 수요자와 기업들이 필요로 하는 보안기술을 검증하고, 융합서비스 기기·플랫폼의 보안성을 테스트하는 융합보안 리빙랩을 구축하여 올해부터 무료로 이용할 수 있습니다.

< 5G+ 5대 핵심서비스 분야별 구축 장소 및 일정 >
스마트공장 자율주행차 스마트시티 디지털헬스케어 실감콘텐츠
장소 스마트제조 자동차융합 센텀기술 원주의료기기 디지털콘텐츠기업
혁신센터(안산) 기술원(군산) 창업타운(부산) 테크노벨리(원주) 성장지원센터(안양)
일시 ‘20.12월 ‘20.12월 ‘21.1월 ‘20.12월 ‘21.1월

∙ 또한, 보안 리빙랩을 고도화하도록 지원하겠습니다.

기대효과 ∙ 보안취약점을 대응·예방하여 국민들이 안전한 5G+ 융합 서비스 환경을 이용합니다.



시행예정일 ∙ ’21년 1월: 5대 핵심서비스별 보안리빙랩 이용



3 중소기업의 소프트웨어 개발단계 보안취약점 점검 지원



(현장의 목소리) “안전한 소프트웨어를 만들기 위해 SW개발보안(시큐어 코딩)을 적용하고 싶지만 중소기업은 시간과 비용의 문제로 적용이 어렵습니다.”
- 중소기업 개발자 -

문제점 ∙ 중소기업은 SW개발보안의 적용이 쉽지 않습니다.
- 소프트웨어를 만드는 기업임에도 중소기업은 개발자 대상의 SW개발보안 교육이나 고가의 보안약점 진단도구 사용이 어렵습니다. 그러나 중소기업의 소프트웨어라도 침해사고 발생 시 그 영향도는 매우 높습니다.



개선방안 ∙중소 소프트웨어 사업자 대상 SW개발보안의 적용을 지원합니다.
- 중소기업의 역량 강화를 위한 SW개발보안 전문교육을 실시합니다. 또한 전문가의 도움을 받을 수 있도록 진단 서비스를 제공하며, 고가의 진단도구를 이용할 수 있도록 진단체계를 구축하겠습니다.



기대효과 ∙ SW개발보안을 적용하면 보안약점이 제거되어 침해사고를 예방할 수 있습니다. 또한 개발 단계부터 보안을 고려하면, 개발 이후의 유지보수 비용을 절감하게 됩니다.




시행예정일 ∙’21년 3월~: 중소 소프트웨어 사업자 대상 SW개발보안 적용 지원
∙’21년 5월~: SW개발보안 전문 인력양성 교육 과정 운영
∙’21년 6월~: SW개발보안 진단체계 운영



4 인공지능(AI) 기술 기반의 보안기업 육성



(현장의 목소리) “정보보호 업계에서 AI 기술을 활용하여 보안 제품의 기능을 강화할 수 있도록 지원해주세요.”
- OO기업 전략기획 담당자 -
“AI 보안 기술 개발을 위한 높은 비용 부담과 오랜 시간 소요로 신규 제품 개발이 어렵습니다.”
- OO기업 개발자 -

문제점 ∙ 세계 정보보호 시장은 AI기반 제품으로 전환 중이나, 정보보호 기업들은 AI기술의 접목, 인력부족, 데이터 확보 어려움 등으로 AI기반 제품·서비스로의 전환이 큰 부담으로 작용합니다.

* AI 기반 정보보호 제품 및 서비스 개발 시 필요한 기업 지원 요구사항에 대한 설문 결과 개발비용 및 전문인력 활용 지원에 대한 요구가 높게 나타남
(’20.11월 KISA 설문 조사결과 中)

개선방안 ∙ 누구나 참여할 수 있는 공모를 통해 AI기반 보안 유망기업을 선발하고, 시제품 개발부터 상용화까지 2년간 지원합니다.(매년 20개 기업 선발)

- 또한, 공공 및 민간의 AI 기반 보안 수요를 발굴해서 수요기반 제품·서비스 개발, 협업 환경 등을 지원합니다.

기대효과 ∙ 정보보호 제품·서비스를 AI기반으로 신속한 전환을 지원하여 정보보호산업 경쟁력을 강화하고, 정보보호산업 진흥에 기여합니다.



시행예정일 ∙ ’21년 4월: AI 기반 보안 전문기업 발굴 및 육성



5 사이버위협 빅데이터 개방·공유 확대(10억건)



(현장의 목소리)
“업계에서 좀 더 활용할 수 있는 보안 관련 빅데이터가 제공되도록 해주시면 감사하겠습니다.
- IT서비스업 관계자-
“최신 위협정보나 보안인텔리전스 정보를 자유롭게 개방해주세요.”
- 공공AI개발 업무담당자 -

문제점 ∙ 사이버 보안 분야의 AI 개발에 필요한 데이터셋이 부족하고 데이터 구축에 많은 시간과 비용이 소요되어 중소·벤처기업에게 큰 부담으로 작용합니다.
* AI 개발 과정에서 데이터 수집·정제·가공 업무가 약 80% 이상 차지

∙ 사이버 위협정보 분석 시 빅데이터 플랫폼을 활용하기 위해 KISA 빅데이터센터를 직접 방문 시에만 이용 가능해 시간적, 물리적 한계가 존재합니다.

개선방안 ∙ 보안위협 정보의 수집 대상과 규모를 확대하고 분야별 위협정보 빅데이터를 확충합니다.

∙ 수요기반 맞춤형 데이터셋을 구축·공유하여 민간 보안 제품 검증 및 연구에 활용합니다.

∙ 위협정보를 온라인 활용 환경으로 공유·개방합니다.

기대효과 ∙ 사이버 위협 빅데이터 분석 및 활용을 통해 침해사고 예방 및 대응 능력을 강화할 수 있습니다.



시행예정일 ∙’21년 3월~: 사이버보안빅데이터센터 온라인 활용 환경으로 개방
∙’21년 3월~11월: 사이버보안 분야 데이터셋 구축 및 검증
∙’21년 12월~: 사이버보안 분야 데이터셋 공유 및 개방


6 내PC 돌보미 서비스 확대


(현장의 목소리) “내 PC가 안전한지 확인하고 싶을 때 집에서 편하게 점검받을 수 있어서 좋아요”
- 내PC 돌보미 서비스 이용자 -

문제점 ∙ 고령층, 장애인 등 디지털 취약계층 시설에서 단체로 이용하는 여러대의 PC도 편리하게 보안점검 서비스를 받았으면 합니다.

∙ 일반 인터넷PC 이외 인터넷에 연결되는 공유기 등도 안전하게 이용할 수 있도록 보안점검 서비스가 확대되었으면 합니다.



개선방안 ∙ 보안 관리 위협에 노출되거나 보안점검을 어려워하는 디지털 취약계층을 대상으로 찾아가는 보안점검 서비스를 제공합니다.

∙ 인터넷과 연결되어 보안위협 대상이 되는 단말기(태블릿PC, 공유기 등 IoT기기)로 점검 대상을 확대합니다.

∙ 보안점검 전문 인력을 증원(54명→84명, 55%↑)하여 많은 국민들이 불편 없이 이용할 수 있도록 하겠습니다



기대효과 ∙ 사이버위협으로부터 안전한 원격수업(초·중·고·대)·재택근무 등을 위한 인터넷 이용 환경조성에 기여합니다.




시행예정일 ∙’21.1.1.: 내PC 돌보미 서비스 확대



\
7 정보보호 제품 인증·평가 기준 완화


(현장의 목소리)
“CC인증제도에 대한 이해력 부족으로 인해 CC인증 준비가 어려워요.”
- CC인증 준비기업 -
“CC평가가 적체되어 CC인증이 너무 오래 걸려요.”
- CC인증 신청기업 -

문제점 ∙ 신생기업은 CC인증 제도·방법에 대한 경험과 이해 부족, 복잡한 평가항목 등으로 인증 준비에 어려움을 호소하고 있습니다.

∙ CC 평가적체가 심화되어 평가 대기시간이 길어지고 있으며, 간단한 S/W 보안패치까지 재평가를 받아야 하므로 CC인증 신청기업의 부담으로 작용하고 있습니다.

개선방안 ∙ 신생기업의 CC인증 준비를 지원하겠습니다.
- CC인증제도 기본교육을 실시하고 인증 컨설팅 서비스를 제공하며, 기업이 자발적으로 보안취약점을 점검할 수 있도록 소스코드 자가진단 S/W를 지원합니다.

∙ CC평가 대기시간을 단축할 수 있도록 지원하겠습니다.
- 평가자 양성 교육 지원, 대기적체가 심한기관의 신청수요 조정 및 통합 정보안내 사이트 개설·운영하겠습니다.

∙ 정보보호 기업의 평가 부담을 완화하도록 하겠습니다.
- 변경승인 요건 확대 및 국내용 CC 인증서 유효기간 확대(3년→5년)하겠습니다.

※ 국내용 인증제품에 포함되어 지속적으로 관리되고 있는 공개용 SW*의 취약점을 패치하는 경우에 한하여 변경승인 허용

* OpenSSL, OpenSSH 등 2종→ApacheTomcat, Apache HTTP Server 등 55종

기대효과 ∙ CC 평가비용 및 기간 단축 등으로 정보보호 기업의 적시·적기 제품 조달이 가능할 것으로 예상됩니다.



시행예정일 ∙ 2021.1월부터 단계적으로 시행






8 정보보호관리체계(ISMS) 간편 인증 신설


(현장의 목소리) “ISMS-P 인증 비용과 시간 부담, 대기업과 동일한 인증기준 적용으로 인하여 영세·중소기업은 인증 취득이 어렵습니다.”
- 영세·중소기업 대상 ISMS-P 구축운영 설문조사 결과(’20.11월) -

문제점 ∙ ISMS-P 인증은 중견규모 이상의 기업 및 기관에 적합한 정보보호 수준으로 설계되어있습니다.
∙ 현재 평균 인증 취득 및 유지하는데 연간 비용 2,180만원, 인증 취득에 소요되는 기간은 5.5개월이 필요합니다.
∙ 영세·중소기업이 ISMS-P 인증 취득하기에는 규모에 비해 비용·시간·인력이 과도하게 소요됩니다.

개선방안 ∙ 영세·중소기업이 실질적 보안 강화 활동에 집중하도록 경량화한 “ISMS-P 간편” 인증 제도를 신설하겠습니다.
∙ 영세·중소기업 규모에 적합하도록 정보보호 관리 활동에 필수적 요소를 선별한 인증 기준으로 구성하겠습니다.


기대효과 ∙ 인증 기준이 간소화됨에 따라, 인증심사에 소요되는 비용과 시간을 30% 이상 경감할 수 있습니다.
∙ 영세․중소기업에 적용 가능한 ISMS-P 인증기준을 통해, 자발적 정보보호 수준 향상 활동을 높이고, 정보보호 사각지대를 해소하는데 기여할 수 있습니다.


시행예정일 ∙’21년 1월~12월 : ISMS-P 간편 인증기준 수립 및 법령 개정 준비
∙’22년 1월~2월 : 인증제도 운영 체계 개편, 인증기준 안내서 등 배포
∙’22년 3월 : ISMS-P 간편 인증제도 시행


9 데스크톱형 클라우드서비스 보안인증 본격 시행


(현장의 목소리)
“개방형OS 도입 정책에 따라 공공 부문에 원활한 DaaS 제공을 위해 민간 DaaS에 대한 보안 우려를 해소할 수 있는 방안이 마련되어야 합니다.”
- 클라우드서비스 제공기업 -

문제점 ∙ 행정·공공기관은 보안을 위해 망분리를 추진하고 있으나,
- 기존 방식은 2대의 물리적 PC를 사용해야 하므로 예산부족 등의 문제로 망분리 전환이 미흡한 상황입니다.
- 정부에서는 이와 같은 문제점을 해소하기 위해 민간 DaaS를 통한 망분리를 고려하고 있지만 보안상의 우려(내부 데이터가 외부 클라우드에 저장 등)로 많은 공공기관들이 도입을 주저할 것으로 예상되고 있습니다.

개선방안 ∙ CSAP 인증 분야를 기존 IaaS·SaaS·PaaS에서 DaaS까지 확대하여 공공 부문에 안전한 DaaS가 도입될 수 있도록 노력하겠습니다.
- 보안성 강화를 위해 기존 IaaS 통제항목에 DaaS 특화 항목(가상PC 저장 데이터 초기화, 비인가 접속단말 차단, 필수 보안SW 제공 등)을 추가하였습니다.
- IaaS와 평가 항목이 유사하기 때문에 기존 IaaS 보안 인증을 획득한 사업자는 단기간에 DaaS 인증을 취득할 수 있습니다.

기대효과 ∙ 공공부문의 안전한 망분리 환경 조성에 기여
∙ 공공부문의 민간 DaaS 도입에 따른 新시장 창출에 기여


시행예정일 ∙’21년 1월: DaaS 분야 클라우드 보안인증제 운영



10 사물인터넷(IoT) 제품 보안인증 제도 개편



(현장의 목소리)
“도어록이 위조된 메시지를 탐지할 수 있는 기능이 있고 그 위조된 메시지를 없앨수 있는 그런 기능이 있다면 해킹을 막을 수 있다”
- 염흥열 순천향대 교수, KBS 뉴스(’20.9.29) -

문제점 ∙디지털 헬스케어, 자율주행차, 스마트 홈·가전, 스마트시티 등 산업 전반에 정보통신 융합이 가속화됨에 따라 정보통신망에 연결되는 기기·설비·장비가 늘어나,

- ’정보통신망연결기기 등‘의 침해사고는 국민의 생명·신체·재산에 큰 피해로 이어질 수 있기 때문에 정보통신망연결기기에 대한 정보보호 강화가 필요합니다.

개선방안 ∙ 정보보호지침의 권고 대상이 되는 ‘정보통신망연결기기등’의 범위를 침해사고 발생가능성 등을 고려하여 대표 ICT 융합산업 8개 분야*로 규정하고

* 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신 등

- 정보통신망연결기기등에 대한 정보보호인증을 운영하기 위한 법적 근거를 마련하여 시행합니다.(’20.12.)

∙ 올해는 정보통신망연결기기등에 대한 인증기준, 보안취약점 보완요청, 인증시험 대행기관의 지정기준·절차 등 세부적인 사항을 마련합니다.

※ 기존 ‘IoT 보안인증’은 ‘정보통신망연결기기 정보보호인증’으로 개편

기대효과 ∙ 보안성이 확보된 제품을 이용토록 하여 기업과 개인의 정보보호 수준을 높이고자 합니다.



시행예정일 ∙’21년 하반기: 정보통신망연결기기등에 대한 정보보호인증 시행





붙임2 정보보호 제도와 지원 사업 관련 인포그래픽