클라우드 보안인증도 규제 푼다…등급제 도입

인증기준, 민감정보는 높이고 공개데이터는 낮춰
4분기 신속확인제 도입…신속확인 보안제품, 외교·국방 등 제외한 기관에 도입 가능

입력 : 2022-08-18 오후 6:09:03
[뉴스토마토 이지은 기자] 클라우드 시스템의 중요도에 따라 등급별로 차등화한 보안인증 등급제가 도입된다. 보안인증 기준이 없는 신기술, 융·복합 보안 제품은 신속확인제도를 통해 공공기관에 공급할 수 있게 된다. 
 
과학기술정보통신부는 18일 국정현안점검조정회의에서 이 같은 내용의 정보보호 규제 개선 추진 상황과 계획을 발표했다. 
 
앞서 과기정통부는 지난 6월 투자애로 규제개선 현장간담회 등을 통해 기업 의견을 중심으로 개선할 규제를 취합했고, 이후 관련 부처가 모여 국무총리실을 중심으로 규제 개선에 착수했다. 
 
세종시 세종파이낸스센터에 위치한 과학기술정보통신부 현판. (사진=뉴시스)
 
과기정통부는 클라우드 보안인증 등급제도를 도입, 클라우드 시스템의 중요도 기준을 3등급으로 구분할 방침이다. 사이버 안보가 저해되지 않도록 등급별로 차등화한 보안인증 기준을 적용하겠다는 것이다. 
 
현재 적용하고 있는 클라우드 보안인증 평가 기준은 보완·완화해 민감정보 등을 다루는 클라우드는 보안성을 높이고, 보안 위험이 상대적으로 낮은 공개데이터를 다루는 클라우드는 인증 부담을 완화하는 방향으로 개선한다. 
 
정보보호 제품은 기존 보안인증 기준이 없는 신기술 및 융·복합 제품을 공공 시장에 신속하게 공급할 수 있도록 신속확인제를 추진한다. 신청 기업은 정보보호 전문서비스 기업으로부터 취약점 점검, 소스코드 보안약점 진단을 받아 그 결과에 따라 보완 조치하는 사전준비를 거쳐 신속확인심의위원회의 보안성 심사를 통과해야 한다. 신속확인 제품은 2년마다 연장할 수 있으며, 앞으로 보안인증 기준(국가용 또는 일반 보안요구사항 등)이 마련되면 정식인증을 받아야 한다.
 
국가정보원은 외교·국방 등 민감한 기관을 제외한 수요 기관이 신속 확인받은 제품을 도입할 수 있도록 보안적합성 검증체계를 개선할 방침이다. 과기정통부는 이달 중 정보보호시스템 평가·인증 지침 개정을 위한 행정예고를 거쳐 4분기 신속확인제를 시행할 계획이다.
 
현재 공공 분야에서는 정보보호 제품을 도입할 때 평가 기준이 있는 20여종만 도입이 가능하다. 기준이 없는 신기술과 융·복합 제품은 기준 개발과 평가에 시간이 걸려 사이버위협 대응에 어려움이 있었던 점을 개선하기 위함이다. 
 
이와 함께 과기정통부는 국가 위성으로 촬영한 위성영상의 신속한 배포를 위해 위장 처리 등 사전 보안 처리가 필요한 위성영상 해상도 기준을 현행 4m에서 1.5m로 완화한다. 15년 만의 규제 완화다. 보안처리 필요 시설을 포함하지 않고 보정하지 않은 좌표를 포함한 위성영상은 온라인 배포도 가능해진다. 이밖에 오는 22일부터 한국정보통신기술협회의 보안인증 시험을 받으면 웨어러블캠 등 무선영상전송장비를 공공부문에 도입할 수 있도록 했다. 기존에는 보안인증기준이 마련된 고정형·유선영 CCTV와는 달리 무선영상전송장비는 보안인증기준이 없어 공공기관 도입이 어려웠다.
 
이종호 과기정통부 장관은 "이번 보안 관련 규제개선은 산업계가 오랫동안 요청해왔던 사항으로 산업계 의견을 반영해 마련했다"면서 "이번 규제개선을 통해 민간의 혁신적인 신기술 개발을 촉진하고, 이를 통해 공공서비스의 혁신과 안전한 디지털플랫폼정부 구현이 기대된다"고 말했다. 
 
이지은 기자 jieunee@etomato.com
 
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
이지은 기자
SNS 계정 : 메일 페이스북