공공시장에 진출 가능한 정보보호 신속확인제품 첫 출시 |
- 신속확인심의위원회, 신기술 및 융·복합 정보보호제품 첫 심의·의결
- 신속확인제품 발굴로 국내 공공분야 정보보호 수준 강화 기대
- 신기술 개발 스타트업의 공공시장 진입 장벽 제거 |
과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)는 작년 11월부터 시행된 정보보호제품 신속확인제의 홍보를 통해 대상제품 발굴을 위한 노력을 해왔으며, 호스트 기반 웹방화벽(F1-WEBCastle V2022.07, (주)에프원시큐리티)을 신속확인제품으로 첫 출시했다고 밝혔다.
정보보호제품 신속확인제는 평가기준이 없어 인증을 획득하기 어려웠던 신기술 및 융·복합제품을 대상으로 국가·공공기관에 도입이 가능하도록 제품의 보안성과 기능 적합성 등을 점검하는 제도이다.
지난 4월 14일 신속확인심의위원회는 제도 시행 이후 첫 상정된 제품에 대해 보안성과 기능을 심의하여 ‘적합’으로 판정하였으며, 신속확인 통과 제품은 확인서 발급일로부터 2년 동안 효력이 인정된다.
* 신청 접수(3월말) → 서면심의(4월 초) → 발표심의 및 심의위원회 의결(4.14.)
‘(주)에프원시큐리티’가 개발한 ‘F1-WEBCastle V2022.07’은 보호 대상인 각 웹서버에 소프트웨어 형태로 설치되어 서버별로 보안정책을 설정할 수 있는 호스트 기반 웹방화벽(침입차단제품군)이다.
이 제품은 외부와 보호 대상(서버) 사이에 설치되는 네트워크 기반 운영환경과 달리 보호 대상 서버별로 설치되는 호스트 기반의 환경이라는 점에서 기존 보안인증제도의 사각지대를 해소했다는 것이 특징이다.
또한, 국가·공공기관* 중 국방 등 민감한 ‘가’그룹 편성기관을 제외한 ‘나’, ‘다’그룹이 신속확인제품을 도입 시 보안적합성 검증을 생략 가능하며, 소프트웨어 품질인증(GS인증)을 받은 제품의 경우 공공조달에서 수의계약도 허용된다.
* 중요도에 따라 3개 그룹으로 편성하고, 공공분야 도입·운용을 위한 주요 IT보안제품의 그룹별 사전인증 요건을 정함(’22.11월, 新 보안적합성 검증체계)
한편, 과기정통부는 신속확인 제품이 공공시장에 진출할 수 있도록 수요처 대상으로 신속확인제품 안내, 정부 지원사업 연계 등 다양한 후속지원을 제공할 계획이다.
과기정통부 정창림 정보보호네트워크정책관은 “정보보호 규제 개선과 산업 발전을 위해 도입한 신속확인 제도 시행 이후 첫 혁신제품을 발굴하는 성과를 얻었다” 라며,
“고도화되는 신규 보안위협에 대응할 신기술 제품들의 등장을 촉진함으로써 국가·공공기관의 보안성을 강화하는데 앞장설 수 있도록 신속확인 제도를 더욱 활성화하겠다” 고 밝혔다.
|
담당 부서 | 정보보호네트워크정책관 | 책임자 | 과 장 | 정은수 | (044-202-6450) |
| 정보보호산업과 | 담당자 | 사무관 | 곽을경 | (044-202-6453) |
참고1 |
| 정보보호제품 신속확인제도 개요 |
□ 개요
o CC 등 기존제도에 평가기준이 없는 신기술 및 융‧복합 제품에 대해 공공시장에 도입할 수 있도록 신속확인제* 마련
* 인증 기준 부재로 인해 평가를 수행할 수 없는 신기술 제품에 대해 취약점 점검, 소프트웨어 보안약점 진단, 기능 시험 결과를 바탕으로 신속하게 보안성 심의
※ 근거 : 정보보호시스템 평가・인증 등에 관한 고시(과기정통부 고시 제2022-61호)
| 정보보호제품 신속확인제 추진 개요 |
|
|
| |
◇ (도입배경) 기존 정보보호제품(20여종) 외에 보안인증 기준이 없는 신기술 및 융복합제품의 경우 기준 개발 및 평가에 장시간 소요되어 급변하는 사이버위협 대응 곤란
◇ (’22년 추진경과) 총리주재 관계부처회의(6.29.), 현안점검조정회의(8.18.), 이해관계자 의견수렴을 통한 관련 고시 개정·시행(10.31.) |
□ 절차
신속확인 대상 검토 | ⇒ | 신속확인 | ⇒ | 사후관리 |
‣ 기존제도 가능여부 검토 (국가용 보안요구사항 유무 등) | ‣ 신속확인 신청 (기업 → 신속확인기관) | ‣ 변경승인, 유효기간 연장 (신고포상제, 취약점 점검 등) | ||
‣ 신속확인심의위원회 심의 (신청서류, 제품설명) | ||||
‣ 신속확인 준비
- 취약점 분석·평가 + S/W 보안약점 진단 + 기능시험 | ||||
‣ 기존제도 기준 마련 (유효기간 만료 후 신속확인 종료) | ||||
‣ 신속확인서 발급 (유효기간 2년) |
□ 기대효과
o 인증 기준이 없어 적기 도입 어려운 신기술 및 융・복합 제품의 공공 시장 진입을 위한 신속확인 체계 마련을 통해 사이버 대응 능력 강화
참고2 |
| 신속확인 통과 제품 설명 |
□ F1-WEBCastle ((주)에프원시큐리티)
○ (제품명) F1-WEBCastle V2022.07
○ (제품군) 침입차단제품군
○ (제품유형) 호스트 기반 웹방화벽 |
|
○ (주요기능) 웹 어플리케이션 취약점을 이용한 공격을 분석해 온라인 웹 서비스의 해킹 공격을 탐지하고 차단하는 웹방화벽 제품
- 사용자는 본 제품을 이용해 웹 서버의 보안 상태를 한눈에 살펴볼 수 있고, 공격 탐지 정보를 실시간으로 확인해 빠른 대응이 가능함
○ (신기술 및 융·복합제품 해당사항) 호스트 기반 웹방화벽으로, 네트워크 단이 아닌 웹서버 내부에 소프트웨어 형태로 설치되는 제품
※ 국가용 보안요구사항에서 정의하는 네트워크 기반의 운영환경과 달라 기존제도에서 평가 불가 |