2021년, 달라지는 정보보호 제도와 지원사업은?

과학기술정보통신부. 연합뉴스

과학기술정보통신부가 ICT(정보통신기술) 중소기업 정보보호 안전망 확충에 힘을 쏟고, 정보보호제품 평가 인증 부담 완화에 나선다.

과기정통부는 7일 중소기업 정보보안 강화와 안전한 정보보호 제품 이용 촉진을 위한 '2021년, 달라지는 정보보호 제도와 지원 사업'의 주요 내용을 발표했다.

우선 ICT 중소기업의 정보보호 안전망을 확충한다. 2019년 정보보호실태조사를 보면 국내 업체들은 공격당할 경우 돌이킬 수 없는 피해를 입게 되는 랜섬웨어를 가장 많이 경험하고, '필요한 정보보호 제품 및 서비스 찾기가 어려움'을 애로사항으로 호소하는 것으로 나타났다. 이에 과기정통부는 ICT 중소기업이 랜섬웨어 방지 솔루션 등을 지원받을 수 있도록 '정보보호 컨설팅 및 보안제품 도입 지원' 사업의 대상 기업을 300개에서 600개로 확대하기로 했다. 지원 금액 또한 기업 당 1000만원에서 1500만원으로 높인다.

정보보호 전담인력이 부족해 보안제품을 운용할 수 없는 중소기업 670개를 대상으로는 클라우드보안 서비스 이용 비용(최대 500만원 상당)을 신규 지원한다.

스마트 공장, 자율주행차, 스마트시티, 디지털헬스케어, 실감콘텐츠 등 5G 핵심서비스 보안테스트 환경을 본격 운용할 방침이다. 융합서비스 기기가 집적된 현장에서 유관기관 등과 협업해 보안기술을 검증하고 기기·플랫폼의 보안성을 테스트할 수 있는 '융합보안 리빙랩'을 전국 5개 지역에 본격 운용하기로 했다.

소프트웨어 개발보안 취약점 점검서비스도 신설한다. 소프트웨어는 해킹 등 사이버 위협의 공격 대상이 되고 침해사고 발생 시 피해가 심각하게 나타날 수 있는 만큼 중소기업이 소프트웨어 개발 단계부터 보안을 적용할 수 있도록 보안취약점 점검을 지원하고, 기업이 고가의 취약점 진단도구를 이용할 수 있도록 소프트웨어보안 진단체계를 운영한다. 지원 범위는 올해 50개, 내년 350개, 2023년 700개 등 총 1100여개 기업이다.

AI(인공지능) 기술 기반의 보안기업을 육성한다. 사이버공격이 대규모·지능화되면서 AI를 활용한 보안 제품·서비스 개발은 더 이상 미룰 수 없는 과제가 됐다. AI 기반의 보안 제품·서비스를 개발하고자 하는 기업을 매년 20개 선발해 처음 1년간 시제품을 개발하고, 다음 연도엔 상용 제품으로 완성하도록 지원한다. 개발된 제품의 경우 해외로 수출할 수 있도록 지원해 글로벌 경쟁력을 갖춘 기업을 육성한다.

아울러 보안위협 정보의 수집 대상과 규모(비대면·지능정보 서비스 분야)를 확대해 분야별 위협정보 빅데이터를 확충한다. 이를 기반으로 수요기반 맞춤형 데이터셋을 구축·공유해 민간 보안 제품의 검증 및 연구 등에 적극 활용할 수 있도록 온라인 사이버위협 빅데이터 활용 환경도 제공할 계획이다.

현재 운영 중인 내 PC 돌보미 서비스는 확대 시행하기로 했다. 내 PC 돌보미 서비스는 지난해 9월부터 디지털 뉴딜의 K-사이버방역 구축의 일환으로 전국민 인터넷PC를 대상으로 보안전문가가 원격에서 무료로 보안점검 해주는 서비스다. 올해부터는 고령층, 장애인 등 정보보호 실천이 어려운 디지털 취약계층을 대상으로 직접 방문해 서비스를 제공하는 '찾아가는 보안점검 서비스'를 실시할 계획이다.

정보보호 인증부담 경감을 목적으로 정보보호 제품 인증·평가 기준도 완화한다. 신생기업을 중심으로 CC인증제도 기본교육을 실시하고 기업이 자발적으로 보안취약점을 점검할 수 있도록 소스코드 자가진단 S/W를 무상으로 이용할 수 있도록 지원한다. 또한 현재 6개 CC인증 평가기관별로 이뤄지고 있는 평가자 양성을 통합해 한 곳에서 교육을 지원하고, 한 곳에서 원스톱으로 CC평가 현황정보를 볼 수 있도록 통합정보 안내사이트를 개설한다.

정보보호관리체계(ISMS) 간편 인증도 신설한다. 현재 ISMS는 중견기업 이상을 대상으로 인증 항목과 평가방법이 설계돼 있다. 이에 일정 정보보호체계를 가진 영세·중소기업이 ISMS인증을 원해도 시간과 비용부담으로 어려움이 있었다. 향후에는 영세·중소기업 규모에 적합하도록 정보보호 관리 활동에 필수적 요소를 마련해 영세·중소기업이 자발적 정보 보호 수준 향상 활동을 높이고, 정보보호 사각지대를 해소할 수 있도록 경량화한 'ISMS-P 간편 인증' 제도를 운영할 예정이다.

이 밖에 공공기관에서 인터넷전용 PC를 따로 둘 필요가 없고, 공공기관 보안요구사항이 적용된 안전한 인터넷용 가상PC를 이용할 수 있도록 기존 클라우드 보안인증제 대상 분야에 서비스형데스크톱(DaaS)을 추가해 시행한다. 디지털 헬스케어, 자율주행차, 스마트 홈·가전, 스마트시티 등 일상생활에서 정보통신망에 연결되는 기기·설비·장비가 늘어남에 따라 '정보통신망연결기기 등'의 범위를 8개 분야로 규정하고 안정성을 확보하는 보호조치를 마련한다.

손승현 과기정통부 정보보호네트워크정책관은 "코로나19 위기 상황 속에서 어려움을 겪고 있는 국민과 기업이 정보보호 정책 개선을 체감할 수 있도록 관련 대책을 차질 없이 진행하고 지속적인 제도개선 사항 발굴·추진 등 적극행정을 추진하겠다"고 말했다.윤선영기자 sunnyday72@dt.co.kr