검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'보안인증'통합검색 결과 입니다. (5건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

KTR, 정보보호제품 성능평가 기관 지정…네트워크 보안 제품 성능검증

KTR(한국화학융합시험연구원·원장 김현철)은 과학기술정보통신부로부터 정보보호제품 성능평가기관으로 지정됐다고 20일 밝혔다. 정보보호제품 성능평가는 '정보보호산업의 진흥에 관한 법률'과 시행령에 따라 정보보호제품의 보안 및 일반기능 처리성능, 시간 및 자원 효율성 등을 평가하는 제도다. KTR은 성능평가기관 지정으로 방화벽·침입방지시스템 등 주요 네트워크 보안 제품 정밀 성능 검증 서비스를 제공할 수 있게 됐다. 특히 실제 운영환경에서의 해킹 피해나 제품 성능저하로 인한 보안 공백 예방을 위한 시험평가 서비스를 수행한다. KTR은 정보보호제품 보안기능시험과 CC인증 평가, 사물인터넷(IoT) 보안인증 시험, 신용카드 단말기 보안시험, 의료기기 사이버보안 시험 등 다양한 보안성 평가서비스를 제공하고 있다. KTR은 국내 시험기관 최초 국제표준에 따른 AI 시스템 품질평가(ISO/IEC 25059, ISO/IEC 25058)는 물론 신뢰성(ISO/IEC TR 24028) 검증, AI 데이터 품질(ISO/IEC 5259-2) 검증 KOLAS 공인시험기관으로 지정받아 관련 서비스를 제공하고 있으며, 국내 최초로 국제표준을 적용한 AI 인증제도를 도입, 시행 중이다. 김현철 KTR 원장은 “KTR은 AI 소프트웨어 시험인증 퍼스트무버로서 품질평가에서 신뢰성까지 AI·소프트웨어·네트워크 시스템 공인 시험평가 서비스를 하고 있다”며 “이번 정보보호제품 성능평가 기관 지정에 따라 KTR은 네트워크 제품의 보안과 성능에 대한 고품질 평가 서비스를 더욱 확대할 것”이라고 밝혔다.

2026.04.20 18:12주문정 기자

정부, 보안 인증제 전면 개편...'강화인증' 등급 신설

과학기술정보통신부(과기정통부)와 개인정보보호위원회(개인정보위)는 10일 정부서울청사에서 열린 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다. 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증은 국제표준(ISO27001·27701) 기반으로 보안수준을 높이고, 사고를 예방하기 위해 기업의 정보보호 및 개인정보보호 관리체계를 점검 및 인증하는 제도다. ISMS·ISMS-P 인증의 긍정적 효과에도 불구, 최근 통신사·이커머스 해킹 등 인증기업의 연이은 사고로 인증제도의 실효성에 대한 우려가 커졌다. 이에 과기정통부와 개인정보위는 관계부처 대책회의, 현장 간담회 등을 통해 인증체계를 구조적으로 개편하기 위한 정책방안을 발굴해 왔다. ▲인증 대상과 기준 ▲심사방식 ▲사후관리 ▲심사품질 확보 등 제도 전반의 개선과제를 이번 강화방안에 담았다. ISMS·ISMS-P(Personal Information & Information Security Management system)는 주요 정보자산 유출 및 피해 예방을 위해 기업 또는 기관이 구축․운영 중인 개인정보 및 정보보호 체계가 적합한지 인증(정보통신망법 제47조, 개인정보보호법 제32조의2에 근거)하는 것이다 1. 인증 의무대상 확대 및 기준 강화 국민 파급력이 큰 대규모 개인정보처리자에 개인정보보호 인증 의무를 부여하고, 통신사·데이터센터 등 침해사고 발생 시 국민생활에 파급력이 큰 사업자들에 대한 인증기준을 강화한다. 디지털 환경이 변화(DX·AX)하고 사이버위협이 커지는 상황에서 개인정보 관리가 중요함에도 그간 ISMS-P 취득은 기업·기관의 자율에 맡겨져 있었다. 이에 앞으로는 선제적인 예방 관리를 위해 공공·민간의 중요 개인정보처리시스템을 중심으로 ISMS-P 인증을 의무화한다. ▲주요 공공시스템운영기관 ▲이동통신사업자 ▲본인확인기관 ▲매출액 및 개인정보 처리규모를 고려한 대규모 개인정보처리자 등을 대상으로 의무화할 예정이며, 단계적으로 확대할 계획이다. 올 2월 기준 정보보호 관리체계(ISMS) 인증 의무대상은 593개사다. 전국에 인터넷망·무선망 등을 제공하는 정보통신망서비스 제공자(ISP)와 기간통신사업자로부터 이동통신서비스를 제공받아 재판매하는 전기통신사업자(MVNO), 정보통신서비스 제공자에게 서버·시설 등을 임대하는 데이터센터(IDC), 세입·매출 1500억원 이상인 재학생 수 1만명 이상의 대학 및 상급종합병원, 정보통신서비스 연 매출액 100억원 또는 일일평균 이용자수 100만명 이상의 자 등이다. ISMS 인증 의무대상자가 인증을 받지 않은 경우 3000만원의 과태료를 부과한다. 인증기준은 총 101개다. ISMS 인증기준 80개(관리체계 수립 및 운영 16개, 보호대책 요구사항 64개)와 ISMS-P 인증기준 101개(ISMS인증기준 80개+개인정보보호 요구사항 21개)다. 인증기관 2곳(한국인터넷진흥원,금융보안원)과 심사기관 5곳 (정보통신기술협회,정보통신진흥협회,개인정보보호협회,차세대정보보안인증원,한국경영인증원)이 있다. 인증 방법은 서면 및 현장심사를 하고 인증 위원회의 심의 및 의결을 거쳐 인증서를 부여하는데 보통 3~4개월이 걸린다. 인증 유효기간은 3년이고, 최초인증 후 매년 사후심사를 한다. 인증현황은 올 2월말 기준 1257건(ISMS 942개, ISMS-P315개)이다. 또 획일적인 인증체계에서 벗어나 위험 기반의 차등화된 관리체계를 구축, 강화인증을 신설했다. 즉, 인증체계를 '강화인증' '표준인증' '간편인증' 등 3단계로 재편하고, 국민생활에 파급력이 큰 강화인증군은 기존보다 강화된 기준과 심사방식을 적용한다. 강화 인증기준은 주요 보안위협 사례와 주요국 보안 요구 사항을 참조해 개발한다. 아울러 인증대상 서비스와 관련된 장비, 시설 등은 빠짐없이 포함되도록 인증범위를 단계적으로 확대한다. 특히, 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 디지털 자산은 인증범위 내에 반드시 포함한다. 2. 인증심사 방식 강화 기존 서면 중심의 심사방식을 전면 개편해 현장중심의 심사체계를 구축하고, 미흡 기업에 대한 인증을 사전에 차단하기 위해 인증심사 절차를 개선한다. 구체적으로, 본심사 전 예비심사 단계에서 핵심적으로 확인해야 할 인증기준(CISO‧CPO의 정보보호 정책 관리 권한 여부, 개인정보 처리‧외부 인터넷 접점 자산 식별, 개인정보 처리시스템 비밀번호‧암호화)을 사전에 점검하고 본심사 진행 여부를 결정해 부실한 관리체계를 개선한 이후 본격적인 인증절차에 돌입할 수 있게 한다. 또한 취약점진단·모의침투와 같은 기술심사 방식을 적용한다. 취약점 점검 전문인력이 점검도구(취약점 스캐너, 스크립트, 소스코드 진단툴 등)를 활용해 취약점 진단과 모의침투를 수행하게 된다. 기존에 서면 확인 위주의 심사방식에서 벗어나, 심사원이 실질적 보안관리 상태를 확인할 수 있도록 실시간 시연 확인 등 현장실증 심사방법을 적용한다. 아울러, 심사투입 인력과 기간을 확대하는 등 심사팀 구성 체계도 개편한다. 표준인증군은 인증심사원을 추가 투입해 현장실증을 강화하고, 강화인증군은 취약점점검원을 전담 투입해 중요도가 높은 정보자산을 기술심사를 통해 정밀하게 점검하고 점검 자산 수도 대폭 늘린다. 3. 인증 사후관리 강화 심사 시 특정 시점만 확인하는 '스냅샷' 방식에서 벗어나 인증심사 이후에도 보안관리가 유지될 수 있도록 상시 점검을 강화한다. 아울러, 중대 침해사고 발생 기업에 대한 사후관리도 엄격히 실시한다. 먼저, 상시 점검체계를 확립해 인증 취득부터 유지·갱신에 이르는 전 과정에서 안전한 관리체계가 지속 유지되고 있는지를 중점적으로 점검한다. 이를 위해 주기별 점검양식을 표준화하고, 사후심사 시 이를 집중 점검해 보안 수준이 유지되도록 한다. 정부와 인증기관 간 사고 이력을 상시 공유할 수 있는 체계를 구축하고, 중대 사고 발생시 기업이 사고복구 및 재발방지에 집중할 수 있게 인증 심사를 잠정 중단한다. 정부조사와 처분 등이 종료된 이후 사고기업에 대한 인증심사 재개시 심사인력과 기간 투입을 확대해 사고원인과 조치현황, 재발방지 대책 등을 철저히 심사한다. 또한, 법령에 규정된 인증취소 사유를 구체화하고 관련 법령에 따라 취소를 추진한다. 특히, 주요 사고 원인 분석 등을 토대로 인증기준 미달 여부를 판단하기 위한 중대 결함 기준을 마련하고, 중대 결함에 대한 보완을 기한 내 조치하지 않을 경우 인증취소를 진행한다. 4. 심사기관 및 심사원 전문성 강화 부실심사를 방지하고 심사품질을 제고하기 위해 심사기관의 관리책임을 강화하고, 심사원의 전문역량 개발에 집중한다. 이를 위해, 매 인증심사 종료 후 심사기관에 대한 신뢰도 조사를 실시하고 그 결과를 차년도 인증심사 배분 시 반영, 심사기관이 스스로 품질을 관리하는 체계를 마련한다. 심사품질 관련 항목을 지정 및 재지정 평가에 반영해 부실심사를 방지하고, 심사기관의 지정 기준 준수 여부를 매년 사후점검을 통해 철저히 확인한다. 취약점 점검 등 심사원의 기술심사 검증 능력 제고를 위해 실무교육을 강화한다. 특히 기술심사 가이드를 제공해 현장실증형 심사 수행능력을 제고하고 심사의 일관성을 확보한다. 또한 AI·클라우드 등 전문분야별 특화 심사가 가능하도록 심사원별 전문분야 정보를 관리해 심사에 활용한다. 심사원 인건비를 현실에 맞게 높여 심사원 처우도 개선한다. 과기정통부와 개인정보위는 이번 실효성 강화방안의 추진과제를 빈틈없이 실현하기 위해시행령, 고시 및 안내서 등을 개정하고 관련 예산을 확보하는 등 후속조치도 철저히 수행할 예정이다. 구체적으로, 상시 점검 강화·인증취소 등 인증 사후관리와 관련된 사항은 올해 하반기부터, ISMS-P 의무화·인증 차등 적용 및 강화 인증기준 적용 등은 2027년부터 시행될 수 있도록 상반기에 관련 작업을 추진할 계획이다. 송경희 개인정보위 위원장은 “사이버 공격이 고도화하는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있게 제도 전반에 대한 근본적 개편이 필요한 시점”이라며 “오늘 발표된 실효성 강화방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다”고 밝혔다. 류제명 과기정통부 제2차관은 “정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치”라며 “급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다”고 밝혔다.

2026.04.10 08:00방은주 기자

MS, 공공 SaaS 진입 가시화되나…업계 "외산 솔루션 확산은 아직 더뎌"

마이크로소프트(MS)가 '마이크로소프트 365(M365)'의 공공 서비스형 소프트웨어(SaaS) 시장 진입을 추진하는 것으로 알려지며 업계의 관심이 쏠리고 있다. 다만 외산 SaaS는 제도적 진입과 달리 공공부문에서 실질적인 확산까지는 상당한 시간이 필요할 것이라는 관측이 제기된다. 12일 업계에 따르면 MS는 M365에 대해 한국인터넷진흥원(KISA) 클라우드 안인증(CSAP) '하' 등급 취득을 목표로 관련 절차를 진행 중인 것으로 전해졌다. 이를 취득할 시 MS는 글로벌 빅테크 가운데 처음으로 공공 SaaS 시장 진입을 본격 추진하게 된다. M365는 엑셀·워드·파워포인트 등 오피스 제품군과 협업 도구를 구독 형태로 제공하는 대표적인 글로벌 SaaS다. CSAP 하 등급을 획득할 경우 논리적 망분리 환경에서도 공공기관 도입이 가능해져 공공 업무 환경 변화 가능성도 거론된다. 다만 업계에서는 제도적 요건 충족이 곧바로 시장 확산으로 이어지지는 않을 것으로 보고 있다. 이미 아마존웹서비스(AWS), 구글 클라우드, MS 애저 등 외산 클라우드 서비스들이 인프라(IaaS) 영역에서 인증과 조달 등록을 마쳤지만, 공공부문에서 뚜렷한 실적으로 이어진 사례는 제한적이라는 이유에서다. 특히 SaaS는 공공기관 업무 데이터가 외부 서비스에 직접 연동되는 구조인 만큼, IaaS보다 보안과 책임 소재에 대한 부담이 크다는 평가다. 이로 인해 외산 SaaS의 공공 도입은 제도적 허용 이후에도 속도 조절이 불가피하다는 분석이 나온다. 국내 클라우드 업계 관계자는 "애저나 구글 클라우드 플랫폼(GCP) 등 주요 IaaS 서비스가 조달 등록과 디지털서비스몰 입점까지는 일부 이뤄졌지만, 실제 수주나 활용 사례는 아직 거의 없는 상황"이라며 "M365가 SaaS 영역에서도 하 등급을 받더라도 유사한 흐름을 겪을 가능성이 크다"고 말했다. MS가 SaaS 하 등급 인증을 추진하는 배경에는 앞서 애저가 IaaS 하 등급을 획득하며 공공 시장 진입의 제도적 기반을 마련한 점이 영향을 미친 것으로 풀이된다. 업계에서는 MS가 당시 함께 신청했던 SaaS 인증 절차가 최근 다시 속도가 붙은 것이라는 해석도 나온다. MS와 KISA는 이번 사안에 대해 구체적인 확인이 어렵다는 입장이다. 신청 여부와 심사 단계, 일정 모두 공개되지 않았다. 업계 관계자는 "외산 솔루션이 공공 시장에서 의미 있는 확산을 이루려면 인증보다 더 중요한 것은 실제 적용 사례와 신뢰"라며 "M365 역시 제도적 문이 열리더라도 공공 현장에서 본격적으로 자리 잡기까지는 꽤 오랜 시간이 걸릴 것"이라고 전망했다.

2026.01.12 18:29한정호 기자

아콘소프트, OPA 어워드 '퍼스트 무버상' 수상

아콘소프트(대표 이영수)가 오픈 클라우드 생태계 확산을 선도한 공로를 인정받아 '퍼스트 무버상'을 수상했다. 공공과 민간을 아우르는 국내 서비스형 플랫폼(K-PaaS) 활용 성과와 멀티클라우드 클라우드 서비스 보안인증(CSAP) 역량이 이번 성과의 기반이 됐다는 평가다. 아콘소프트는'오픈 클라우드 플랫폼 서밋 2025'의 인공지능(AI)·클라우드 플랫폼 이노베이션 시상식에서 오픈 클라우드 플랫폼 얼라이언스(OPA)가 주관하는 퍼스트 무버상을 수상했다고 12일 밝혔다. 아콘소프트는 멀티클라우드 CSAP 인증을 기반으로 공공, 교육, 금융, 민간 기업 전반에 걸쳐 멀티·하이브리드 클라우드 환경을 성공적으로 구축해왔다. 이를 통해 안정적이면서도 확장 가능한 디지털 서비스 체계를 구현한 점을 높게 평가받았다. 특히 한국교육학술정보원(KERIS)의 AI 디지털교과서, 근로복지공단, 부산시청, 경북도청 등 다양한 공공기관과 주요 금융사, 대기업이 아콘소프트의 칵테일 클라우드를 활용하고 있다. 아콘소프트는 ▲멀티·하이브리드 클라우드 환경에서의 애플리케이션 통합 관리 ▲웹 GUI 기반 직관적 운영 환경 ▲쿠버네티스 리소스 및 보안 관리 ▲포괄적 모니터링과 고급 사용자 관리 ▲프리미엄 기능 기본 제공에 따른 TCO 절감 ▲멀티 클러스터 자원 공유와 독립적 개발·운영 환경 제공 ▲컨테이너 간 NVIDIA GPU 공유 기능을 통한 인프라 효율화 등 차별화된 기능으로 K-PaaS 혁신 활용을 선도하고 있다. 이영수 아콘소프트 대표는 "이번 퍼스트 무버상 수상은 오픈 클라우드 생태계 확산과 K-PaaS 발전을 위해 꾸준히 노력해온 결과"라며 "앞으로도 멀티클라우드 CSAP 인증 기업으로서 공공과 민간의 디지털 혁신을 이끌고, AI·클라우드 네이티브 기술 기반의 글로벌 경쟁력 확보에 최선을 다하겠다"고 말했다.

2025.09.12 16:07남혁우 기자

포시에스, 정보보안 국제표준 3종 동시 인증…'이폼사인' 보안 전면 강화

포시에스가 고객 데이터 보호와 서비스 신뢰성 향상을 위해 정보보안 관리 체계를 강화했다. 포시에스는 글로벌 정보보안 국제표준인 'ISO 27001'의 최신 인증을 획득했다고 2일 밝혔다. 이와 함께 클라우드 서비스 보안 표준인 'ISO 27017'과 개인정보 보호 표준인 'ISO 27018' 인증도 동시에 완료하며 이미 적용돼 있던 강화된 서비스 보안 체계의 우수성을 다시 한번 검증받았다. 이는 기존 2013년 버전에서 디지털 진화와 클라우드화에 대한 변화를 반영한 강화된 표준으로, 포시에스는 올해 최신 ISO 기준에 부합하는 서비스 제공 환경을 선제적으로 마련했다. 최신 ISO 27001은 ▲조직의 통제 ▲인적 통제 ▲물리적 통제 ▲기술적 통제의 4가지 핵심 영역으로 구분해 정보보안을 체계적으로 관리하도록 규정하고 있다. 이러한 변경으로 조직이 보다 효과적으로 정보 보안 통제를 관리하고 보안 요구사항과 리스크 관리 목적에 맞춰 운영할 수 있게 됐다. 국내 전자문서 1세대이자 공공 분야에서 오랜 기간 기술력을 인정받은 포시에스는 이번 3종 인증을 통해 고객들이 안심하고 이용할 수 있는 전자계약 서비스의 신뢰성을 더욱 강화했다. 특히 디지털 전환이 가속화되는 환경에서 급증하는 신생 전자계약 서비스들과 차별화된 검증된 보안 체계를 토대로 서비스 이용자들에게 핵심적인 혜택을 제공한다는 방침이다. 함께 인증받은 ISO 27017은 클라우드 서비스에 특화된 보안 가이드라인으로, 포시에스는 ▲고객의 가상 환경 보호·분리 ▲클라우드 환경과 관련된 관리 작업·절차 ▲고객의 클라우드 내 활동 모니터링 등을 강화했다. 또 ISO 27018 인증으로 ▲동의와 선택 ▲합법성과 사용 목적 ▲데이터 최소화 ▲사용 및 공개 제한 등 개인정보 보호에 관한 엄격한 통제 체계도 구축했다. 포시에스의 대표 클라우드 서비스인 전자계약 플랫폼 '이폼사인'은 이번 3종 인증을 통해 고객 데이터 보호를 위한 더욱 고도화된 보안 시스템을 갖췄다. 계약 문서의 안전한 보관, 사용자별 접근 권한의 세밀한 통제, 첨단 데이터 암호화 기술 등 다층적 보안 체계로 고객들이 정보 유출 걱정 없이 편리하게 전자계약을 체결할 수 있게 했다. 포시에스는 강화된 보안 체계를 현재 준비 중인 독자 특허 기술 기반 인공지능(AI) 서비스 개발의 중요한 토대로 활용한다는 목표다. 이번 3종 인증으로 고객 데이터를 활용한 AI 서비스의 보안 신뢰성을 확보함으로써 향후 고객들에게 제공될 AI 기반 계약 분석 및 자동화 서비스에서도 데이터 보안과 품질을 모두 보장한다는 것이다. 이폼사인은 실시간 모니터링 시스템과 정기적인 보안 점검을 통해 고객의 중요 계약 정보를 지속적으로 보호한다. 이러한 보안 관리는 고객들에게 비즈니스 연속성 보장과 법적 위험 감소라는 혜택을 제공하며 서비스 이용 과정에서의 불안 요소를 제거하는 데 기여하고 있다. 포시에스는 앞으로도 고객 중심의 서비스 향상을 위해 보안 관리 체계를 꾸준히 개선해 나갈 계회이다. 고객들이 디지털 전환 과정에서 발생할 수 있는 보안 위험 없이 효율적인 전자계약 서비스의 이점을 안전하게 누릴 수 있도록 한다는 방침이다. 고객 니즈에 맞춘 지속적인 서비스 품질 향상과 보안 강화로 전자계약 시장에서 신뢰받는 파트너로 자리매김한다는 목표다. 포시에스 관계자는 "ISO 27001·27017·ISO27018 세 가지 최신 국제 보안 규격을 동시에 검증 받음으로써 고객에게 최상의 서비스 품질과 보안을 제공하려는 우리의 의지를 입증했다"며 "업계에서 선제적으로 최신 ISO 기준을 충족하며 전자문서 분야 1세대로서의 노하우와 검증된 기술력을 바탕으로 고객들이 더욱 안전하고 편리하게 이용할 수 있는 서비스를 지속적으로 발전시켜 나갈 것"이라고 밝혔다.

2025.05.02 10:17한정호 기자