올해 중소기업 정보보호 지원 1270개로 확대…CC인증 기준도 완화

[이데일리 이후섭 기자] 올해 정보보호 제품 도입지원을 받는 중소기업이 1270개로 확대되고, 정보보호제품 평가·인증의 재평가 기준이 완화된다.

과학기술정보통신부는 중소기업 정보보안 강화와 안전한 정보보호 제품 이용 촉진을 위한 `2021년 달라지는 정보보호 제도와 지원 사업`의 주요 내용을 7일 발표했다.

해당 사업에는 △ICT 중소기업 정보보호 안전망 확충 △5G 핵심서비스 보안테스트 환경 본격운용 △소프트웨어 개발보안 취약점 점검서비스 신설 △인공지능(AI) 기술 기반의 보안기업 육성 △사이버위협 빅데이터 개방·공유 확대 △내 PC 돌보미 서비스 확대 △정보보호 제품 인증·평가 기준 완화 △정보보호관리체계(ISMS) 간편 인증 신설 △데스크톱형 클라우드서비스 보안인증 본격 시행 △사물인터넷(IoT) 제품 보안인증 제도 개편 등의 내용이 담겨있다.

우선 ICT 중소기업이 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 `정보보호 컨설팅 및 보안제품 도입 지원` 사업의 대상 기업을 300개에서 600개로 확대하고, 지원 금액을 기업당 1000만원에서 1500만원으로 확대한다. 2019년 정보보호실태조사에 따르면 국내 업체들 중 54%가 랜섬웨어 공격을 경험했고, `필요한 정보보호 제품 및 서비스 찾기가 어려움`을 애로사항 1위로 호소하고 있다.

또 정보보호 전담인력이 부족해 보안제품을 운용할 수 없는 중소기업 670개를 대상으로 클라우드보안 서비스 이용 비용(최대 500만원 상당)을 신규 지원하기로 했다.

정보보호 제품 인증·평가 기준도 완화한다. 정부·공공에 백신, 방화벽 등 정보보호제품을 납품하기 위해서 정보보호제품 평가·인증(CC인증)을 필수적으로 받아야 하지만, 신생기업의 경우 CC인증에 대한 경험과 이해가 부족하고 복잡한 평가항목 등으로 인증에 어려움을 겪고 있다. 더욱이 평가 수요가 많아 평가 적체가 심화됐고, 재인증 시 간단한 보안패치만 하더라도 최초 평가에 준하는 평가(재평가)를 받아야 해 CC인증에 많은 기업부담이 있다.

현재 6개 CC인증 평가기관에서 분산돼 이뤄지는 평가자 양성을 통합해 한국인터넷진흥원(KISA) 한 곳에서 평가자 양성 교육을 지원하고 원스톱으로 CC평가 현황정보를 볼 수 있도록 통합정보 안내사이트도 개설한다. 보안패치로 인한 기능변경은 재평가 대신 변경승인으로 대체해 기존 약 3000만원 들던 비용을 500만원 수준으로 줄이고, 평가 기간도 9개월(대기기간 포함)에서 3주 이내로 대폭 단축시킬 계획이다. 국내용 CC 인증서 유효기간도 기존 3년에서 5년으로 확대해 평가부담을 경감한다.

영세·중소기업 규모에 맞는 정보보호 관련 정책, 조직, 자산 관리 등 관리·기술적 요소 등을 적용해 경량화한 `ISMS-P 간편 인증` 제도도 신설한다. 이를 통해 인증심사에 소요되는 비용은 기존 2180만원 수준에서 1526만원으로, 기간도 5.5개월에서 4개월 수준으로 30% 이상 줄일 수 있을 것으로 기대된다.

손승현 과기정통부 정보보호네트워크정책관은 “코로나19 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 추진하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다”고 말했다.