정보보호제품인증 없는 경우 ‘신속확인제’ 도입으로 공공부문 납품
클라우드 보안인증 3등급으로 구분, 등급별 차등화된 보안기준 적용
공개 대상 국가 위성정보 영상 해상도 기준 낮춰, 산업 활용도 높여

사진은 '2022국제보안엑스포'에 출품한 스타트업의 제품 안내판으로서 본문 기사와는 직접 관련없음.
사진은 '2022국제보안엑스포'에 출품한 스타트업의 제품 안내판으로서 본문 기사와는 직접 관련없음.

[애플경제 전윤미 기자] 각종 제품이나 서비스 자체에 개인정보 보호 장치가 깃들어있도록 인증하기 위한 ‘개인정보보호 중심 설계(Privacy by Design, PbD)’가 날로 강조되고 있다. 그러나 국내에서는 아직 PbD를 평가하는 인증제도가 활성화되지 않고 있어, 이를 확산시켜야 한다는게 전문가들의 지적이다. 그런 가운데 19일 정보통신기술협회가 정보보호제품 보안인증제도 개선책의 일환으로 ‘신속확인제’ 도입한다고 밝혀 사실상 PbD에 의한 인증제도의 활성화를 예고하고 있어 관심을 끈다.

협회는 과학기술정보통신부와 함께 국정원 등 관계부처와 전문가들과 협의, 이같은 방침을 확정했다. 그 과정에서 정보보호제춤 보안인증 제도를 개선할 뿐 아니라, 클라우드 보안인증제도, 위성정보 보안과 무선영상전송장비 시험인증제도 등도 강화 내지 개선할 것으로 전해졌다.

이에 따르면 우선 PbD에 의한 정보보호제품 보안인증제도 개선을 위해 그 동안 인증이 어려웠던 기업과 제품에 대해 ‘신속확인제’를 도입하기로 했다. 현재는 공공조달 부문에선 정보보호제품을 납품받을 경우 PbD 평가기준이 있는 20여종만 참여할 수 있었다. 반면에 PbD기준이 없는 신기술이나 융·복합 제품은 새삼 기준을 개발하고, 평가하느라 올내 시간이 걸릴 뿐만 아니라, 사이버공격에 취약하는 등 문제점도 뒤따랐다.

“이에 기존의 보안인증 기준이 없는 신기술 및 융·복합 제품을 공공 시장에 신속하게 공급할 수 있도록 ‘신속확인제’를 도입키로 했다”고 밝혔다. 보안인증 기준, 즉 현행 PbD는 공통평가기준(CC, Common Criteria) 인증, 보안기능확인서, 성능평가 등에 의해 측정된다. 그러나 ‘신속확인제’가 도입될 경우 PbD기준이 없는 기업들은 정보보호 전문서비스 기업으로부터 취약점을 점검받고, 소스코드 보안 약점 진단을 받아야 한다. 그 결과에 따라선 보완하거나 사전준비를 거쳐 신속확인심의위원회의 보안성 심사를 통과해야 한다. 이같은 신속확인제품은 2년마다 연장할 수 있으며, 앞으로 보안인증 기준(국가용 또는 일반 보안요구사항 등)이 마련되면 정식인증을 받아야 한다.

보안검증체계도 개선된다. 이에 따르면 국정원은 외교·국방 등 민감한 기관을 제외한 수요기관이 신속확인을 받은 제품을 도입할 수 있도록 보안적합성 검증체계를 개선한다. 이를 위해 8월 중에 정보보호시스템 평가·인증 지침을 과기정통부가 고시한다. 또 개정을 위한 행정예고를 거쳐 4분기에 신속확인제를 시행할 계획이다. 국정원도 이번 규제개선 방안에 따라 국가 정보보안 기본 지침을 개정할 예정이다.

정보통신기술협회는 “제도 시행 전에 국내 정보보호기업들을 대상으로 신속확인 신청 방법이나, 운영절차 등을 안내하는 설명회를 개최할 예정”이라면서 “신기술 및 융・복합 제품들도 그렇게 되면, 2~3개월 신속확인 절차를 거쳐 공공시장에 적기 공급이 가능하게 되며, 공공 분야에서 발생하는 신규 보안위협에 신속하게 대응할 수 있을 것”으로 기대했다.

한편 최근에는 국내 각종 연구기관이나 전문가 집단에서도 PbD에 의한 인증과 보안체계에 대해서도 다시 주목하는 분위기다. 정보통신기획평가원에 따르면 PbD는 ‘프라이버시를 고려한 (제품, 서비스) 설계’의 개념이다. 즉, “프라이버시가 침해당한 후 대응하는 것이 아니라, 개인정보 침해 요인을 예측ㆍ예상하거나, 프라이버시 침해 가능성에 대비하여 제품이나 서비스의 기획ㆍ설계 단계에서부터 사전에 예방하는 개념”이란 얘기다.

한편 이번 개선책 중엔 또한 클라우드 보안인증제도도 포함된다. 요약하면 기존과는 달리 클라우드 보안인증을 3단계 등급제로 바꾼다는 내용이다. 즉 “민간 클라우드 이용이 확대될 수 있도록 기존의 획일적 보안인증 체계 대신, 클라우드로 사용될 시스템의 중요도에 따라 3등급으로 구분한다”면서 등급별로 차등화된 보안인증기준을 적용하는 ‘클라우드 보안인증 등급제’를 도입키로 했다.

이 밖에 위성영상의 보안을 위한 규제도 완화하기로 했다. 즉, 국가 위성으로 촬영한 위성영상의 신속한 배포를 위하여, ‘위장처리’ 등 사전 보안처리가 필요한 위성영상 해상도 기준을 현행 4m에서 1.5m로 대폭 완화하는 것이다. 또 굳이 물리적 저장매체에 위성영상을 저장, 배포하지 않아도 되게 했다. 즉, 보안처리 필요 시설을 포함하지 않은 경우 보정하지 않은 좌표를 포함한 위성영상에 대해서는 온라인 배포를 허용하기로 했다.

무선영상전송장비에 대한 시험인증제도도 시행된다. 현재는 고정형·유선형 폐쇄회로 텔레비전(CCTV)의 경우 보안 인증기준이 마련되어 있어 공공기관에 납품이 가능하다. 그러나 웨어러블캠 등 무선영상전송장비의 경우 보안인증 기준이 없어 납품이 어려웠다. 이에 41개 보안인증 시험항목을 마련, 오는 22일부터 한국정보통신기술협회 보안인증

키워드

#개인정보 #개인정보보호 #정보보호 #보안 #인증
저작권자 © 애플경제 무단전재 및 재배포 금지