ICT 융합 기기 보안위협 지속 증가
보안사고 예방·피해 최소화 위해
사후 처벌 아닌 사전 보안성 강화 필요
인증기관, 인증위원회, 시험대행기관
업무·역할 구체화, 인증기준 규정도
스탠다드·베이직·라이트 유형 구분
자율인증으로 정보통신망 안정성 확보
!['정보통신망연결기기등 정보보호인증에 관한 고시'에서 정보보호인증은 보안요구사항 수준에 따라 '스탠다드(Standard)', '베이직(Basic)', '라이트(Lite)' 등의 3가지 유형으로 구성된다. [자료=과기정통부, KISA]](/news/photo/202109/89330_40684_4410.jpg)
[정보통신신문=박광하기자]
악의적인 해킹 등 보안 위협이 최근 급격하게 증가하면서 시민의 일상 생활에도 직접적인 영향을 미치고 있다. 정부는 정보보호의 중요성이 사회 전반적으로 확산됨에 따라, 제조·수입 사물인터넷(IoT) 기기에 대해 정보보호인증 제도 시행 근거를 마련했다. 인증 제도는 자율인증을 바탕으로 실시되며, 인증 기기는 인증 마크를 부착할 수 있어 시민들이 IoT 기기 구매 시 정보보호인증 제품임을 쉽게 식별할 수 있을 것으로 기대된다.
■IoT 기기 정보보호 자율인증 근거 마련
과학기술정보통신부는 최근 IoT 기기 등에 대한 정보보호인증 제도 시행을 위해 '정보통신망연결기기등 정보보호인증에 관한 고시(과기정통부 고시 제2021-73호)'를 제정했다.
과기정통부는 고시 제정에 대해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 법)' 제48조의6, 같은 법 시행령(이하 영) 제60조의3부터 제60조의9까지의 규정, 같은 법 시행규칙(이하 규칙) 제4조~제7조의 규정에 따라 정보통신망연결기기등의 정보보호인증에 필요한 사항을 정하기 위해서라고 목적을 밝혔다.
'정보통신망연결기기등'이란 영 제36조의2에서 정한 기기·설비·장비 등을 말하며, 정보보호인증은 이들 기기·설비·장비에 대해 인증기관이 인증기준에 적합함을 승인하는 행위를 의미한다.
과기정통부는 최근 5G 상용화, 정보통신기술(ICT) 융·복합으로 초연결이 가속화되면서 ICT 융합 제품·서비스에 대한 보안위협이 지속적으로 증가하고 있다고 짚었다. 구체적으로는 IP카메라, 지능형CCTV, 스마트홈·가전, 자율주행차 등 융합제품·서비스 보안 문제가 사회적 이슈로 등장하고 있다고 언급했다. 또한, ICT가 융합된 산업에서 발생할 보안위협은 기존 사이버보안 위협과는 달리 시민의 생명과 재산에 직접적인 피해 또는 사회 전반에 광범위한 피해를 야기할 우려가 있기 때문에, 융합산업에 대한 보안사고 예방 및 피해 최소화를 위해서는 사후 처벌보다는 보안 내재화를 통한 사전 보안성 강화가 필요하다고 진단했다.
과기정통부는 ICT 융합화가 전방위적으로 확산돼 정보보호 중요성이 기존 비(非)ICT 분야로 확산되고 있으나, 각 산업 분야를 규율하는 개별법에 융합제품·서비스 보안을 위한 제도적 장치가 부재한 경우가 있어 정보보호 공백을 해소하고자 관련 법령을 정비하게 됐다고 언급했다. 만일 부처에 따라 상이하고 일관성 없는 정책 추진이 일어날 경우 분야별 정보보호 수준 격차, 규제 중복, 유사 제도의 난립 등이 발생해 효율적인 사고 조치 및 대응이 불가능하게 될 것이 우려된다는 설명이다.
이에 정부는 '정보통신망 이용촉진 및 정보보호에 관한 법률'을 지난해 6월 개정해 '정보통신서비스 제공자'만 하던 정보보호 조치를 'IoT기기 등 제조·수입업자'도 하도록 함으로써 보안이 취약한 상태로 방치되지 않도록 최소한의 보안조치를 하거나 사고 발생 시 적절한 대응을 하도록 개선한 바 있다.
또한, 정보통신망연결기기등에 대해 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 자율인증제도 실시 근거를 마련해 ICT 융합산업 생태계 성장에 맞춰 다양한 융합제품 등에 적용될 수 있도록 돕겠다는 입장이다.
아울러, 한국인터넷진흥원(KISA)이 지난 2017년부터 안전한 IoT 기기 확산을 위한 IoT 보안인증을 운영 중인 바, 이 제도의 활성화를 위한 법적 근거를 마련하겠다는 계획도 밝혔다.
과기정통부는 제정된 고시에 대해 KISA에서 수행하고 있는 IoT 보안인증을 법제화한 것으로서, 기존 보안인증의 유형과 방식이 동일해 피규제자가 해당 내용을 준수하는데 어려움이 없을 것으로 분석했다.
■정부·기관별 업무와 역할 제시
고시에 따라 정부 및 기관별로 역할이 지정(제4조)된다.
과기정통부는 인증 체계에서 정보보호인증과 관련된 전반적인 정책을 수립·시행하는 역할을 담당하게 된다.
인증기관은 인증기준 개발, 시험방안 마련, 시험결과 검증, 인증품질 관리, 인증 및 취소, 인증서 관리 등 업무를 수행하며, 이를 위해 필요한 경우 인증시험을 수행할 수 있다.
인증위원회는 인증기관의 요청에 따라 인증기준 및 인증대상의 적합여부, 인증시험 결과 등에 대해 심의한다.
시험대행기관은 과학기술정보통신부장관이 필요한 경우 지정하며 정보통신망연결기기등이 인증기준에 적합한지 여부를 확인하는 시험을 대신해 수행한다.
고시에서 정한 인증 대상 기기(제5조)는 영 제36조의2에 따른 정보통신망연결기기등이다. 다만, 신청제품이 인증대상에 해당되는지 여부는 망연결성, 기능적 구성, 기술의 발전 등을 고려해 인증위원회의 심의를 거쳐 결정할 수 있다. 다른 법령에 따라 정보보호 관련 인증·시험을 받는 정보통신망연결기기등은 인증대상에서 제외할 수 있도록 했다.
기기의 인증기준(제6조)은 △식별 및 인증 △데이터 보호 △암호 △소프트웨어 보안 △업데이트 및 기술지원 △운영체제 및 네트워크 보안 △하드웨어 보안 등의 7개 '인증영역'으로 구성됐다. 인증기관은 인증유형 및 인증대상의 특성 및 운영환경을 고려해 인증기준 내에서 인증시험항목을 조정할 수 있다. 이때, 인증기관은 인증신청인 및 시험대행기관과 협의해야 한다. 인증기관은 시험 완료 후에도 인증기준의 추가·보완이 필요하다고 인정하는 경우, 인증기준 내에서 인증기준의 추가·보완을 요청할 수 있으며, 이 경우 시험대행기관은 인증시험항목을 재조정해 추가시험을 수행해야 한다.
인증유형(제7조)은 정보보호인증은 보안요구사항 수준에 따라 '스탠다드(Standard)', '베이직(Basic)', '라이트(Lite)' 등의 3가지 유형으로 구성된다. 스탠다드 유형은 고도의 해킹공격에 대응할 수 있고 국제적인 요구사항을 포함한 종합적 보안조치 수준이다. 베이직 유형은 중요 정보의 불법적인 접근을 차단하고 노출방지에 대응할 수 있는 일반적인 보안조치 수준이다. 라이트 유형은 단순 해킹공격에 대응할 수 있는 필수 보안조치 수준이다.
시험대행기관의 신청절차(제9조)도 마련됐다. 과기정통부 장관은 법 제48조의6 제4항에 따라 시험대행기관을 지정할 필요가 있는 때에는 지정대상 기관의 수, 업무의 범위, 신청방법 등을 관보 또는 인터넷 웹사이트에 20일 이상 공고토록 했다. 영 제60조의7 제2항에 따라 시험대행기관으로 지정받으려는 자는 시험대행기관 지정 신청서, 준수사항 서약서, 시험대행기관 현황 및 운용계획서, 인증시험대행기관 지정기준 세부사항 충족 증빙 서류 등을 과기정통부 장관에게 제출해야 한다.
시험대행기관 신청에 따른 심사절차(제10조), 재지정절차(제11조), 기관 점검 및 관리(제12조) 근거 규정도 고시에 담겼다.
■인증서 발급 및 사후관리 절차 규정
인증서 발급을 위해서는 먼저 정보보호인증시험을 받아야 한다. 인증시험과 관련해 고시는 제18조부터 제23조까지의 규정을 제정했다. 인증신청 및 수수료 납부에 대한 근거(제13조~제17조)도 마련했다.
인증기관은 시험대행기관으로부터 인증신청 대상 기기의 정보보호인증시험 결과보고서를 제출 받아 시험결과가 인증기준에 적합한지, 시험 절차 및 방법 등을 준수했는지를 검토(제24조)해야 한다.
인증기관은 검토 결과가 '적합'으로 판정된 경우 그 결과를 인증신청인에게 통보하고 정보보호인증서를 발급(제25조)한다. 정보보호인증의 유효기간은 3년이며, 2년의 범위에서 한 차례 그 기간을 연장할 수 있다. 인증기관은 발급된 인증서를 관리하고, 인증현황은 인증정보를 제공하는 웹사이트에 공개한다.
인증기관은 영 제60조의6에 따라 인증 유효기간 이내라도 △인증을 받은 기기에 취약점이 발견된 경우 △인증을 받은 기기에 보안기능의 추가 또는 보완이 필요하다고 판단한 경우 △신규 운영체제의 등장 등 인증제품의 안정적인 동작에 영향을 미칠 수 있는 중대한 운영환경 취약점이 발생한 경우 등의 사안이 발생하는 경우 시험대행기관 및 인증취득인에게 필요한 조치를 요청(제26조)할 수 있다. 또한, 인증기관은 필요 시 인증제품에 대한 새로운 취약성, 인증내용 오·남용 여부 등을 점검하기 위해 시험대행기관 및 인증취득인의 협조를 요청할 수 있다. 인증기관은 점검 결과 문제점이 발견될 경우에는 이를 인증취득인에 통보해야 한다. 조사결과를 통보받은 인증취득인은 특별한 사유가 없는 한 30일 이내에 보완조치하고 그 결과를 인증기관에 확인을 요청해야 한다. 인증기관은 취약점의 보완 요청에도 불구하고 특별한 사유 없이 취약점을 보완하지 않아 해당 기기가 인증기준에 부합하지 않게 된 경우에는 법 제48조의6 제3항 제2호에 따라 정보보호인증을 취소하거나 취약점이 보완되기까지 인증의 효력을 정지할 수 있다. 아울러, 인증기관은 인증취득인이 취약점을 보완하지 않는 경우 그 사실을 인터넷 웹사이트에 공고토록 해, 시민들이 해당 사실을 확인할 수 있도록 했다.
인증신청인 또는 인증취득인이 시험·인증 결과 또는 인증 취소처분에 관해 이의가 있는 때에는 그 결과를 통보받은 날부터 15일 이내에 이의신청(제27조)을 할 수 있다. 인증기관은 이의신청이 이유가 있다고 인정되는 경우에는 인증위원회에 재심의를 요청할 수 있으며, 인증기관은 이의신청에 대한 처리결과를 이의신청인에게 통지해야 한다.
