2021년, 디지털 뉴딜 성공을 뒷받침할 정보보호 제도와 지원 사업

□ 2021년, 정보보호 제품 도입지원을 받는 중소기업이 1,270개까지 확대되고, 전국민 인터넷PC를 원격에서 보안 점검하는 “내PC 돌보미 서비스”가 확대된다.

□ 과학기술정보통신부(장관 최기영, 이하 ‘과기정통부’)는「ICT 중소기업 정보보호 안전망 확충」,「정보보호제품 평가․인증 부담완화」,「정보보호관리체계(ISMS) 간편 인증 신설」등 중소기업 정보보안 강화와 안전한 정보보호 제품 이용 촉진을 위한 “2021년, 달라지는 정보보호 제도와 지원 사업”의 주요 내용을 발표하였다.

< 중소기업 · 국민 보안강화 지원 >

❶ ICT 중소기업 정보보호 안전망 확충

□ 국내 업체들은 공격당할 경우 돌이킬 수 없는 피해를 입게 되는 랜섬웨어를 가장 많이 경험하고(54%), ‘필요한 정보보호 제품 및 서비스 찾기가 어려움’을 애로사항(1위)으로 호소하고 있다.(정보보호실태조사, 2019년)

□ 이에 따라, ICT중소기업이 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 ’정보보호 컨설팅 및 보안제품 도입 지원’ 사업의 대상 기업을 300개에서 600개로 확대하고, 지원 금액을 기업 당 1,000만원에서 1,500만원으로 확대한다.

o 또한, 정보보호 전담인력이 부족해 보안제품을 운용할 수 없는 중소기업 670개를 대상으로 클라우드보안 서비스 이용 비용(최대 500만원 상당)을 신규 지원한다.

※ (클라우드보안 서비스) 매월 일정 금액을 지불하고 실시간으로 이메일 보안, 악성코드 탐지 등 보안 조치를 제공받는 서비스

❷ 5G 핵심서비스 보안테스트 환경 본격운용

□ ICT 생태계가 5G, IoT 등을 기반으로 하여 급속도로 변화하고 있으며, 해킹 등 사이버위협도 날로 지능화되고 있는 실정이다.

o 국민 생활과 밀접한 5G 5대 핵심서비스* 분야별로 보안위협 대응·예방이 절실히 요구되고 있음에도 불구하고 관련 보안제품에 대한 안전성을 실증할 수 있는 도구 및 공간이 부족한 상황이다.

* 스마트 공장, 자율주행차, 스마트시티, 디지털헬스케어, 실감콘텐츠

□ 이에 따라, 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업하여 보안기술을 검증하고 기기·플랫폼의 보안성을 테스트할 수 있는 ‘융합보안 리빙랩’을 전국 5개 지역*에 본격 운용한다.

o 융합보안 리빙랩 이용을 희망하는 중소기업(제조·솔루션·보안기업 등)은 예약**한 후 무료로 이용할 수 있다.

* 스마트공장:스마트제조혁신센터(안산), 자율주행차:자동차융합기술원(군산),
스마트시티:센텀기술창업타운(부산), 디지털헬스케어:원주의료기기테크노벨리(원주), 실감콘텐츠:디지털콘텐트기업성장지원센터(안양)

** 리빙랩 이용 예약 문의(이메일): cslivinglab@kisa.or.kr

❸ 소프트웨어 개발보안 취약점 점검서비스 신설

□ 안전하지 않은 소프트웨어는 해킹 등 사이버 위협의 공격 대상이 되고 침해사고 발생 시 국민의 소중한 개인정보 탈취, 기업의 주요 정보자산 유출 등 그 피해가 심각하게 나타날 수 있지만,

o 보안투자 여력이 부족한 중소기업이 안전한 소프트웨어를 만들기 위한 시간과 비용의 문제, 고가의 소프트웨어 취약점 진단도구 이용 등 많은 어려움이 있다.

□ 이에 따라, 중소기업이 소프트웨어 개발 단계부터 보안을 적용할 수 있도록 소프트웨어 보안취약점 점검을 지원*하고, 기업이 고가의 취약점 진단도구를 이용할 수 있도록 소프트웨어보안 진단체계**를 운영하겠습니다.

* 보안투자 여력이 부족한 중소기업 대상 소프트웨어 개발보안 진단 실시
(’21년 50개 → ’22년 350개 → ’23년 700개 등 총 1,100여 개 기업 지원)

** 취약점 진단도구와 진단 전문가가 상주하여 SW보안취약점 점검 지원

❹ 인공지능(AI) 기술 기반의 보안기업 육성

□ 사이버공격이 대규모·지능화되면서 인공지능을 활용한 보안 제품·서비스 개발은 더 이상 미룰 수 없는 과제가 되었다.

o 세계 정보보호 시장은 인공지능 기반으로 전환을 서두르고 있지만, 국내 정보보호 기업들은 인력, 예산 및 데이터 부족으로 어려움을 겪고 있는 상황이다

□ 이를 해결하기 위해, 인공지능 기반의 보안 제품·서비스를 개발하고자 하는 기업을 매년 20개 선발하여 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성하도록 지원한다.

o 또한 개발된 제품을 해외로 수출할 수 있도록 지원해 글로벌 경쟁력을 갖춘 기업을 육성한다.

❺ 사이버위협 빅데이터 개방・공유 확대

□ 최근 확산하고 있는 비대면 환경과 함께 지능화·고도화하는 사이버 위협에 능동적으로 대응하기 위해서는 무엇보다 사이버위협 정보에 대한 빅데이터 분석을 기반으로 한 다양한 접근이 필요한 상황이나,

o 사이버 보안 분야의 AI개발에 필요한 사이버위협 빅데이터 정보가 부족하고 데이터 구축에 많은 시간과 비용이 소요되는 중소·벤처 기업에게 큰 부담으로 작용하고 있다.

□ 이에 따라, 보안위협 정보의 수집 대상과 규모(비대면·지능정보 서비스 분야)를 확대하여 분야별 위협정보 빅데이터를 확충(약 10억건)하고, 이를 기반으로 수요기반 맞춤형 데이터셋*을 구축·공유하여 민간 보안 제품의 검증 및 연구 등에 적극 활용할 수 있도록 온라인 사이버위협 빅데이터 활용 환경**을 제공한다.

* 산·학·연 전문가 수요조사를 통해 정보보호 기술개발, 제품 기능향상 등 사이버보안 활용가치가 높은 AI학습용 빅데이터

** 시간·장소에 제약 없이 누구나 자유롭게 위협정보 활용 및 AI·빅데이터 분석이 가능한 온라인 분석환경

❻ 내 PC 돌보미 서비스 확대

□ 코로나19 지속으로 언택트 문화가 자리 잡으며 쇼핑, 게임, 교육 등 온라인 활동이 증가하면서 해킹에 의한 개인정보 탈취 등 사이버 공격 위협도 함께 증가하고 있어,

o 정부는 지난해 9월부터 디지털 뉴딜의 K-사이버방역 구축의 일환으로 전국민 인터넷PC를 대상으로 보안전문가가 원격에서 무료로 보안점검 해주는『내 PC 돌보미 서비스*』실시(’20.9월)하고 있다.

※ 운영체제 및 S/W 보안 업데이트, 해킹 프로그램 유무 점검·조치, 백신 미탐지 바이러스 제거 등 보안 취약점 점검·조치 서비스(☞ KISA 보호나라 → 보안서비스 → 내PC 돌보미(PC 원격 보안점검) 신청)

□ 금년부터는 특히 고령층, 장애인 등 정보보호 실천이 어려운 디지털 취약계층을 대상으로 직접 방문하여 서비스를 제공하는 ‘찾아가는 보안점검 서비스*’로 사회적 가치를 실현할 계획이다.

* 아동·장애인 등 복지시설, 농어촌 등 복지단체, 경제적 취약 등 교육 사각 계층을 대상으로 서비스 신청 이전에 먼저 안내하고 현장 점검 서비스 제공

o 아울러, 기존 인터넷PC 중심의 보안점검 서비스에서 테블릿PC, 공유기 등 IoT기기로 보안점검 대상을 확대하고 보안점검 전문 인력도 증원(54명→84명, 55%↑)하여 국민이 원하는 시간대에 불편 없이 서비스를 이용할 수 있도록 지원한다.

< 정보보호 인증부담 경감 >

❼ 정보보호 제품 인증·평가 기준 완화

□ 정보보호기업이 정부․공공에 백신, 방화벽 등 정보보호제품을 납품하기 위해서 정보보호제품 평가․인증(CC인증)을 필수적으로 받아야 하지만, 신생기업의 경우 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움을 겪고 있다.

o 또한, 올해의 경우 평가 수요가 많아 평가 적체가 심화됐고, 재인증 시 간단한 보안패치만 하더라도 최초 평가에 준하는 평가(재평가)를 받아야 해 CC인증에 많은 기업부담이 있다.

□ 이러한 정보보호기업의 부담을 경감하기 위해 신생기업을 중심으로 CC인증제도 기본교육을 실시하고 기업이 자발적으로 보안취약점을 점검할 수 있도록 소스코드 자가진단 S/W를 무상으로 이용할 수 있도록 지원한다.

o 또한, 현재 6개 CC인증 평가기관별로 분산적으로 이루어지는 평가자 양성을 통합하여 한 곳에서 평가자 양성 교육을 지원(KISA)하고, 한 곳에서 원스톱으로 CC평가 현황정보를 볼 수 있도록 통합정보 안내사이트도 개설(KISIA)한다.

o 보안패치로 인한 기능변경*은 재평가 대신 간단한 확인(변경승인)으로 대체하여 기존 평가 대비(EAL2 기준) 비용은 1/6 수준(약 3천만원 → 약 5백만원), 기간은 1/12 수준(약 9개월(대기기간 포함) → 약 3주 이내)으로 대폭 줄이고, 국내용 CC 인증서 유효기간을 확대(3년→5년)하여 평가부담을 경감한다.

* (대상) Apache Tomcat, Apache HTTP Server 등 공개용 S/W(오픈소스) 55종

❽ 정보보호관리체계(ISMS) 간편 인증 신설

□ 현재 정보보호관리체계 인증(ISMS*)은 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계되어, 일정 정보보호체계를 가진 영세·중소기업이 ISMS인증을 원해도 시간과 비용부담으로 어려움이 있었다.

* ISMS(Information Security Management System) 정보통신망의 안전성·신뢰성 확보를 위하여 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합적 관리체계

□ 이에 따라, 영세·중소기업 규모에 적합하도록 정보보호 관리 활동에 필수적 요소*를 마련하여 영세·중소기업이 자발적 정보 보호 수준 향상 활동을 높이고, 정보보호 사각지대를 해소할 수 있도록 경량화한 “ISMS-P 간편 인증” 제도를 신설한다.

* 정보보호 관련 정책, 조직, 자산 관리 등 관리·기술적 요소 등

o 인증 기준이 간소화됨에 따라 인증심사에 소요되는 비용과 시간을 30% 이상 경감(비용 2,180만원 → 1,526만원/년, 기간 5.5개월 → 4개월/년)할 수 있을 것으로 기대된다.

❾ 데스크톱형 클라우드서비스 보안인증 본격 시행

□ 행정․공공기관은 내부망․인터넷망의 분리를 위해 행정업무용 PC와 인터넷용 PC 등 2대를 별도로 운영하여 비용, 관리상의 비효율이 존재하였다.

□ 이에 따라, 공공기관에서 인터넷전용 PC를 따로 둘 필요가 없으며, 공공기관 보안요구사항이 적용된 안전한 인터넷용 가상PC를 이용할 수 있도록 기존 클라우드 보안인증제 대상 분야에 서비스형데스크톱(DaaS)*을 추가하여 시행한다.

* 데스크톱 구현에 필요한 운영체제(OS), 각종 업무용 애플리케이션(앱) 등을 클라우드 방식으로 제공하는 서비스

❿ 사물인터넷(IoT) 제품 보안인증 제도 개편

□ 디지털 헬스케어, 자율주행차, 스마트 홈·가전, 스마트시티 등 산업 전반에 정보통신 융합 가속화로 일상생활에서 정보통신망에 연결되는 기기·설비·장비가 늘어나고 있다.

o ‘정보통신망연결기기 등’의 침해사고는 국민의 생명·신체·재산에 큰 피해로 이어질 수 있어 정보통신망연결기기에 대한 정보보호가 절실히 요구되는 상황이다.

□ 이에 따라, ‘정보통신망연결기기 등’의 범위를 8개 분야*로 규정하였으며, 정보통신망의 안정성을 확보하는 보호조치를 마련한다.

* 8개 분야: 가전, 교통, 금융, 스마트도시, 의료, 제조·생산, 주택, 통신

o 구체적으로 기존 ‘IoT 보안인증’을 ‘정보통신망연결기기 정보보호인증’으로 개편하여 올해 하반기부터 시행하고, 인증시험대행기관 지정, 인증기준 및 절차 마련 등 인증체계를 구축한다.

□ 과기정통부 손승현 정보보호네트워크정책관은 디지털 뉴딜 성공을 뒷받침하고 “코로나 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다.”라고 밝혔다.