[전문가기고] 신속확인제도, 정보보호제품 혁신의 새바람을 일으키길 기대

문성준 엔시큐어 대표

 

지난 6월, 미국 샌프란시스코에서 RSA 컨퍼런스 2022가 개최되었다. RSA 컨퍼런스는 약2만6000여명이 참석하고 400개 이상 기업이 전시회에 참가하는 세계 최대 규모의 정보보안 컨퍼런스다. 올해 행사에서는 ‘변화(Transform)’를 주제로 정보보호 주요 이슈와 기술 트렌드가 논의됐다. 팬데믹이라는 혼란이 가속화한 디지털변혁이 보안을 변화시켰으며, 보안업계가 계속해서 자발적으로 변화해야만 변화를 멈추지 않는 위협에 대응할 수 있다는 의미이다.

 

변화하는 사이버보안의 세계에서 진화하는 위협에 대응하기 위해 글로벌 정보보호업계는 클라우드 보안, 제로 트러스트(Zero Trust), 확장된 위협 탐지 및 대응(eXtended Detection and Response, 이하 XDR) 솔루션, 위협 인텔리전스 등 지속적으로 신기술을 개발하고 적용하며 끊임없이 변화하고 있다. 국내 기업들도 변화하는 글로벌 정보보호기술 트렌드에 맞추어 신기술개발과 융·복합제품 출시에 적극적이다. 그러나 지금까지는 이렇게 개발된 혁신제품을 국가·공공기관에 납품하기 어려운 환경이었다. 국가용 보안요구사항이나 보호프로파일 등 평가·인증 가능한 보안제품 유형이 정해져 있어 해당 유형이 아니면 복잡하고 까다로운 절차를 거쳐야만 도입이 가능했기 때문이다. 기존의 인증제도로 인하여 평가를 수행할 수 없는 신기술 및 융·복합 제품에 대해서는 수요기관이 도입을 주저했던 것이 사실이다.

 

물론 정책당국의 입장은 국가·공공기관의 보안성을 담보하기 위해 철저히 검증된 제품만을 도입하고자 하는 취지였으며, 이러한 기조가 우리 정보보호산업 발전과 제품의 품질향상에 기반이 돼왔던 것이 사실이다. 그러나 앞서 RSA 컨퍼런스에서 보았듯이 정보기술(IT) 환경이 급격하게 변화하고 있는 시점에서 우리의 정책도 혁신이 필요한 때다.

 

이러한 시기에 정책당국은 혁신 정보보호제품을 도입할 수 있는 신속확인제를 마련했다. 신속확인제도를 통해 기존 인증제도에서 수용할 수 없었던 인공지능(AI), 빅데이터, 클라우드 등의 신기술을 활용한 혁신 정보보호 제품을 빠르게 도입할 수 있는 방안이 마련되었다. 본 제도는 취약점 점검과 소스코드 보안약점 진단 등을 통해 보안점검을 수행하고 보안기능을 테스트 한 뒤 심의위원회의 심의·의결을 통해 확인서가 발급된다. 기업의 사전준비(취약점점과 소스코드 보안약점 진단, 기능시험)만 되어 있으면 1.5~2개월 이내에 빠르게 확인서 발급이 가능한 것이 특징이다.

 

그동안 우리를 괴롭히던 코로나19의 끝이 보이고 있다. 동시에 우리의 환경에도 많은 변화가 있었고 지금은 디지털 대전환의 중대한 기로에 놓여 있다. 반면, 글로벌 공급망 위협, 랜섬웨어, 피싱 등 우리를 둘러싼 보안위협도 지능화·고도화되고 있으며 러시아와 우크라이나 전쟁 등의 대외불안요소가 폭증하는 혼란한 시기이다.

 

이러한 상황에서 성공적인 디지털 대전환을 위해서는 안전한 정보보호환경이 전제돼야 하며, 그 기본은 우리 정보보호산업의 혁신에서부터 시작한다. ‘정보보호제품 신속확인제도’ 도입을 통해 국가·공공기관에 다양한 유형의 정보보호 제품을 빠르게 도입할 수 있는 방법이 마련됐다. 신속확인제 도입이 국내 정보보호산업의 혁신제품 개발을 독려하고, 변화를 거듭하는 보안위협 속에서 국내 정보보호업계가 스스로 변화를 주도하는 환경을 조성해주기를 기대해 본다.

 

 

 

2022.11.01 08:36 디지털데일리 문성준 엔시큐어 대표

https://www.ddaily.co.kr/news/article/?no=250088