[보안뉴스 김경애] 정보통신망법 시행령 제36조의2, 제36조의4제4항 및 제36조의5제2항에 따라 정보보호 사전점검에 관한 고시가 8일 개정돼 바로 시행된다.

미래부에서 고시해 개정된 조항은 △정보보호 사전점검 관련 용어를 정의한 총칙 △사전점검의 실시 시기 △정보보호 사전점검 대상 △정보보호 사전점검 수행기관 △정보보호 사전점검 수행 인력 △정보보호 사전점검 수행 △정보보호 사전점검 수수료 등이다.

이번 고시는 정보보호 사전점검의 방법·절차·수수료에 관한 세부사항과 그 밖의 정보보호 사전점검에 필요한 사항에 대해 정하기 위해 개정됐고, 이번에 정보보호 사전점검과 정보보호컨설팅, 정보보호 사전점검 대상자에 대한 용어가 정의됐다.

사전점검의 실시시기와 관련해서는 대상자가 새롭게 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계 단계부터 실시해야 한다고 규정했다.

또한, 정보보호 사전점검 대상의 경우 미래창조과학부(이하 미래부)가 사업자에 대해 사전점검을 실시하거나 실시 계약을 체결한 경우 해당 사업 또는 서비스에 대해 가점을 부여하는 등의 우대조치를 할 수 있도록 개정했다. 또한, 사전점검의 대상 범위는 제공하려는 사업 또는 정보통신서비스를 구성하는 하드웨어, 소프트웨어, 네트워크 등의 유·무형 설비 및 시설을 대상으로 했다.  

정보보호 사전점검 수행기관의 경우 미래부가 시행령 제36조의4제3항에 따라 사전점검을 수행하는 외부 전문기관을 지정할 수 있도록 했고, 미래부가 사전점검 수행기관을 지정할 필요가 있을 때에는 미리 접수 신청기관과 신청요령 등을 정해 관보 및 인터넷 홈페이지에 20일 이상 공고하도록 했다. 이와 함께 사전점검 수행기관으로 지정받기 위해서는 시스템·네트워크·데이터베이스·소프트웨어 개발 보안 및 취약점 분석·평가 분야 등의 정보보호 기술인력을 보유해야 한다고 개정했다.  

정보보호 사전점검 수행인력과 관련된 제5장의 경우 사전점검을 수행하기 위해서는 시행령에 따른 정보보호 기술인력의 자격기준을 갖추어야 하고, 한국인터넷진흥원은 정보보호 사전점검의 품질관리 및 수행인력의 전문성 확보를 위해 필요한 교육을 할 수 있도록 했다. 또한, 사전점검 교육과정에 정보통신서비스 구조 분석과 보호자산 식별, 위협 및 취약점 분석, 위협 시나리오 작성 등 사전점검 절차·방법 및 프로젝트 관리를 포함시켰다.  

정보보호 사전점검 수행과 관련해서는 사전점검 계약, 사전점검 기준, 사전점검 준비, 설계 검토, 보호대책 적용, 보호대책 구현현황 점검 및 시험, 사전점검 결과 정리, 사전점검 결과 처리, 해설서 등에 대해 규정했다.

마지막으로 정보보호 사전점검 수수료는 ‘엔지니어링산업 진흥법’에 따른 엔지니어링사업의 대가 기준과 한국소프트웨어산업협회가 제공하는 ‘SW사업 대가산정 가이드’의 정보보안 컨설팅비의 기준을 준용해 산정하도록 했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>