UPDATED. 2021-01-28 14:06 (목)
ISMS-P 인증 간소화…비용·시간 30% 절감
ISMS-P 인증 간소화…비용·시간 30% 절감
  • 최아름 기자
  • 승인 2021.01.08 14:18
  • 댓글 0
이 기사를 공유합니다

보안패치 시 CC인증 비용 1/6로
IoT 보안인증 개편…하반기 시행
융합보안 리빙랩 5개 지역서 운영

정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 기준이 간소화돼 비용 및 시간이 30% 이상 절감될 전망이다. 보안패치 시 정보보호제품 평가·인증(CC인증) 비용도 1/6로 경감된다.

과학기술정보통신부는중소기업 정보보안 강화와 안전한 정보보호 제품 이용 촉진을 위한 2021년 달라지는 정보보호 제도와 지원 사업의 주요 내용을 발표했다.

 

[출처=과기정통부]
[출처=과기정통부]

현재 정보보호관리체계 인증(ISMS)은 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계되어, 일정 정보보호체계를 가진 영세·중소기업이 ISMS인증을 원해도 시간과 비용부담으로 어려움이 있었다.

ISMS는 정보통신망의 안전성·신뢰성 확보를 위해 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합적 관리체계다.

이에 따라, 영세·중소기업 규모에 적합하도록 정보보호 관리 활동에 필수적 요소를 마련해 영세·중소기업이 자발적 정보보호 수준 향상 활동을 높이고, 정보보호 사각지대를 해소할 수 있도록 경량화한 “ISMS-P 간편 인증 제도를 신설한다.

인증 기준이 간소화됨에 따라 인증심사에 소요되는 비용과 시간을 30% 이상 경감(비용 2180만원 →1526만원/년, 기간 5.5개월 →4개월/년)할 수 있을 것으로 기대된다.

또한 기존 ‘IoT 보안인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편해 올해 하반기부터 시행하고, 인증시험대행기관 지정, 인증기준 및 절차 마련 등 인증체계를 구축한다.

또한 정보보호기업이 정부․공공에 백신, 방화벽 등 정보보호제품을 납품하기 위해서 CC인증을 필수적으로 받아야 하지만, 신생기업의 경우 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움을 겪고 있다.

또한, 올해의 경우 평가 수요가 많아 평가 적체가 심화됐고, 재인증 시 간단한 보안패치만 하더라도 최초 평가에 준하는 평가(재평가)를 받아야 해 CC인증에 많은 기업부담이 있다.

이러한 정보보호기업의 부담을 경감하기 위해 신생기업을 중심으로 CC인증제도 기본교육을 실시하고 기업이 자발적으로 보안취약점을 점검할 수 있도록 소스코드 자가진단 S/W를 무상으로 이용할 수 있도록 지원한다.

또한, 현재 6개 CC인증 평가기관별로 분산적으로 이루어지는 평가자 양성을 통합해 한 곳에서 평가자 양성 교육을 지원(KISA)하고, 한 곳에서 원스톱으로 CC평가 현황정보를 볼 수 있도록 통합정보 안내사이트도 개설(KISIA)한다.

보안패치로 인한 기능변경은 재평가 대신 간단한 확인(변경승인)으로 대체해 기존 평가 대비(EAL2 기준) 비용은 1/6 수준(약 3000만원→약 500만원), 기간은 1/12 수준(약 9개월→약 3주 이내)으로 대폭 줄이고, 국내용 CC 인증서 유효기간을 확대(3년→5년)해 평가부담을 경감한다.

이와 함께 과기부는 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업해 보안기술을 검증하고 기기·플랫폼의 보안성을 테스트할 수 있는 ‘융합보안 리빙랩’을 전국 5개 지역에 본격 운용한다.

운영 지역 및 분야는 안산 스마트제조혁신센터(스마트공장), 군산 자동차융합기술원(자율주행차), 부산 센텀기술창업타운(스마트시티), 원주의료기기테크노벨리(디지털헬스케어), 디지털콘텐트기업성장지원센터(실감콘텐츠)다.

융합보안 리빙랩 이용을 희망하는 중소기업은 한국인터넷진흥원에 예약한 후 무료로 이용할 수 있다.

또한 중소기업의 소프트웨어 개발을 지원하기 위한 소프트웨어 보안취약점 점검 지원을 올해 50개, 내년 350개, 2023년 700개로 늘린다.

 

[출처=과기정통부]
[출처=과기정통부]

중소기업이 고가의 취약점 진단도구를 이용할 수 있도록 진단 전문가가 상주하는 소프트웨어보안 진단체계도 운영된다.

인공지능 기반의 보안 제품·서비스를 개발하고자 하는 기업을 매년 20개 선발해 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성하도록 지원한다.

보안위협 정보의 수집 대상과 규모를 확대해 분야별 AI 학습용 위협정보 빅데이터를 10억건까지 확충하고, 이를 기반으로 수요 기반 맞춤형 데이터셋을 구축·공유해 민간 보안 제품의 검증 및 연구 등에 적극 활용할 수 있도록 온라인 사이버위협 빅데이터 활용 환경을 제공한다.

ICT중소기업이 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 ’정보보호 컨설팅 및 보안제품 도입 지원’ 사업의 대상 기업을 300개에서 600개로 확대하고, 지원 금액을 기업당 1000만원에서 1500만원으로 확대한다.

손승현 과기정통부 정보보호네트워크정책관은 “코로나 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다”고 밝혔다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.