1. 보안 시장의 Fast-Track, 정보보호 제품 신속확인제도의 개요
정의: 기존 클라우드 보안인증(CSAP)이나 공통평가기준(CC) 인증 등 정형화된 평가 기준이 없어 시장 진입에 어려움을 겪는 신기술·융합 보안 제품에 대해 보안성을 신속히 확인하여 공공시장 판로를 열어주는 제도.
추진 배경: 지능형 해킹, AI 기반 공격 등 신규 위협에 대응하는 혁신 제품이 개발되어도 인증 기준 부재로 공공기관 도입이 지연되는 현상(Time-to-Market 실기)을 해결하기 위함.
법적 근거: 정보보호산업 진흥에 관한 법률 제17조의2(정보보호 제품의 신속 확인 등).
2. 신속확인제도의 주요 내용 및 수행 체계
가. 제도 추진 체계
과학기술정보통신부: 정책 수립 및 제도 총괄.
한국인터넷진흥원(KISA): 제도 운영, 신청 접수 및 신속확인서 발급.
신속확인위원회: 학계, 산업계 전문가로 구성되어 제품의 혁신성 및 보안성 심의·의결.
나. 대상 제품 및 신청 자격
대상: 기존 인증 규격(CC, 성능평가 등)이 없는 신기술·융합 보안 제품.
자격: 해당 제품을 개발하고 공급하고자 하는 국내 기업.
3. 신속확인 처리 절차 및 평가 항목
가. 처리 절차 (약 2개월 소요)
사전 상담: 대상 여부 확인 및 제출 서류 안내 (KISA).
신청 접수: 제품 설명서, 자가 점검표 등 제출.
보안성 시험: 취약점 분석, 기능 시험 등 전문 시험기관을 통한 검증.
심의·의결: 신속확인위원회에서 제품의 적합성 최종 판단.
확인서 발급: 최종 통과 시 '정보보호 제품 신속확인서' 발급 (유효기간 2년).
나. 주요 평가 항목
| 평가 영역 | 주요 내용 |
| 보안 기능 | 제품이 제시한 보안 기능의 정상 동작 여부 검증 |
| 소프트웨어 보안 | 소스코드 보안 약점, 알려진 취약점(CVE) 존재 여부 점검 |
| 형상 관리 | 제품의 버전 관리 및 업데이트 체계의 적정성 |
| 사용자 권한 | 관리자 권한 오남용 방지 및 접근 제어 기능 |
4. 기존 인증 제도와의 비교 분석
| 비교 항목 | CC 인증 (Common Criteria) | 신속확인제도 (Rapid Confirmation) |
| 평가 대상 | 이미 기준(PP)이 마련된 정형화된 제품 | 기준이 없는 신기술·융합 제품 |
| 소요 기간 | 통상 6개월 ~ 1년 이상 | 약 2개월 내외 (대폭 단축) |
| 평가 기준 | 국제 표준 규격 준수 (엄격) | 제품 특성을 반영한 핵심 보안성 확인 (유연) |
| 공공 도입 | 국가·공공기관 도입 가능 | 공공기관 도입 가능 (동등 효력 부여) |
5. 신속확인제도의 기대효과 및 향후 과제
기대효과:
기업: 초기 시장 진입 장벽 완화로 인한 연구개발(R&D) 의욕 고취 및 매출 증대.
공공기관: 최신 보안 기술을 적시에 도입하여 사이버 위협 대응력 강화.
향후 과제:
사후 관리 강화: 신속한 확인만큼 배포 이후의 취약점 관리 및 정기적인 모니터링 체계 필요.
인증 제도 간 연계: 신속확인 이후 시장이 성숙되면 정식 CC 인증이나 표준화로 유도하는 로드맵 필요.
결언: 신속확인제도는 '안전'과 '혁신'의 균형을 맞추는 중추적 제도임. 기술사는 단순히 인증 취득을 넘어, 제품의 생애주기 전반에 걸친 보안성을 설계하고 신뢰할 수 있는 보안 생태계를 조성하는 데 기여해야 함.
댓글 없음:
댓글 쓰기