CSAP 등 보안·SW인증 부담 줄었다… 두달이면 획득 OK

팽동현 2024. 4. 25. 17:45
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
내달부터 법정 인증제도 개선
ISMS 간편인증제로 비용절감
IoT 보안인증은 파생모델 도입

강도현(왼쪽 7번째부터) 과기정통부 2차관, 조준희 KOSA 회장, 이동범 KISIA 명예회장 등 참석자들이 25일 서울 광화문에서 열린 정보보호·SW 인증제도 개선 간담회에서 기념촬영하고 있다. 팽동현 기자

강도현(왼쪽 7번째부터) 과기정통부 2차관, 조준희 KOSA 회장, 이동범 KISIA 명예회장 등 참석자들이 25일 서울 광화문에서 열린 정보보호·SW 인증제도 개선 간담회에서 기념촬영하고 있다. 팽동현 기자

보안·SW(소프트웨어) 관련 인증 제도가 획기적으로 개선된다. 5월부터 과학기술정보통신부의 정보보호·SW분야 법정 인증제도 획득이 모두 2개월 내에 이뤄지고 재인증 등에 드는 비용도 줄어든다.

과기정통부는 25일 서울 광화문에서 강도현 제2차관 주재로 관련 간담회를 갖고 '정보보호·SW 인증제도 개선방안'을 발표했다. 정보보호·SW 품질 수준은 유지하되 혁신을 저해하는 불필요·불합리한 부담은 줄이도록 인증 기간, 인증 비용, 절차를 대폭 개선해 오는 5월 1일부터 시행한다.

먼저 CSAP(클라우드보안인증)는 인증 기간을 평균 5개월에서 2개월로 단축한다. 인증·평가기관 심사인력을 추가 투입해 인증 적체를 해소하고, 신규 평가기관을 상반기 내에 추가 지정한다. 수수료 지원도 중견기업 30→50%, 중기업 50→80%), 소기업 70→80%로 비율을 확대한다. 인증 획득 이후 매년 실시하던 사후평가는 현장평가(유료)에서 서류평가(무료) 3회 및 2년차 현장평가(유료) 1회로 개선한다. 보안수준 저하 방지를 위해 서면평가 미흡 기업 대상 샘플링 현장 점검 등도 실시할 예정이다.

GS(굿소프트웨어) 인증은 소요기간을 평균 3개월에서 2개월로 단축한다. 수요가 5개 인증기관으로 분산될 수 있도록 2021년 5월 신규 지정한 KTR·KTC·CIDI 3개 기관의 인증 분야를 확대하고, 시험 이관과 시험원 충원, 탄력적 인력 운영을 추진한다. 수수료 부담 완화를 위해 경미한 업데이트에 대한 재인증 비용을 전액 면제(약 500만원)하고, 중대한 변경(업그레이드) 재인증 비용은 50% 감면(약 700만원)한다. 정보보호 인증제품 보안성 평가 면제(약 200만원 감면) 대상도 확대한다. SaaS(서비스형 소프트웨어) 특성을 고려한 인증기준 정비도 추진한다.

ISMS(정보보호관리체계) 인증은 중소기업의 비용·기간 부담을 줄이기 위해 'ISMS 간편인증제'를 도입한다. 매출 300억원 이하 중소기업 대상 점검항목을 경량화(80→40개 수준)하고 수수료를 줄이는(평균 1100만원→500만원) 한편, 법 개정을 통해 의무 대상 기준도 완화(정보통신서비스부문 매출 100억원 이상→300억원 이상)할 예정이다. 기존 이메일·우편 등으로 진행하던 심사절차도 KISA가 시스템을 구축해 전산화해 소요기간을 단축(평균 5→2개월)하고, 침해사고 미발생 기업에는 사후심사를 현장이 아닌 서면으로 전환한다.

정보보호제품 대상 CC(Common Criteria) 인증은 평균 5개월 이상이던 소요기간을 2개월로 단축한다. 신규 신청기업에 대한 시험 수수료를 50% 이상 감면해 기존 5000만원 내외 고가의 수수료를 2000만원으로 낮춘다. 인증·시험기관과 산업계 및 민간 전문가 연구반을 구성해 올 8월까지 절차 간소화 및 시험 수수료 절감 방안을 마련할 계획이다.

IoT(사물인터넷) 보안 인증은 색깔 등 간단한 디자인 일부 변경에도 신규 인증을 받아야 했으나, 기업 부담을 완화하기 위해 파생모델 제도를 도입한다. 시험 기간(15일→1~2일) 및 수수료(1300만원→70~140만원)는 대폭 줄인다.

강 차관은 "정보보호·SW분야 인증제도는 제품·서비스 안전성과 품질 향상에 기여해 왔지만, 여러 순기능에도 불구하고 영세·중소기업 등에 부담을 주고 혁신이 즉시 반영되지 못하는 장애물이 되기도 했던 게 사실"이라며 "KISA 및 인증·평가기관들의 협력 덕분에 두 달만에 개선안을 마련했다"고 밝혔다.

과기정통부는 수요기업 및 인증·시험기관과 소통하는 간담회를 반기별 1회 개최하는 등 지속적인 제도개선을 추진한다는 방침이다. 현재 인증·시험을 진행 중인 수요기업도 이번 개선방안 시행 시 혜택을 받을 수 있도록 구제방안도 마련할 예정이다.

산업계는 이번 개선안을 크게 반기는 분위기다. 조준희 KOSA(한국소프트웨어산업협회) 회장은 "정부가 많은 준비를 해서 선도적으로 제도를 개선해 놀랍고 감사하다. 협회도 앞으로 개선된 제도가 안착되도록 적극 지원하겠다. 이번 개선이 모범사례로서 전 부처에 확산되길 희망한다"고 말했다.

이동범 KISIA(한국정보보호산업협회) 명예회장은 "인증제도가 시장에 미치는 영향이 굉장히 컸는데, 일회성이 아니라 지속적인 개선을 추진한다는 점에서 환영한다"며 "많은 인증제도가 공공조달업무와 연계돼 있으므로, 인증제도 개선 효과가 반감되지 않도록 조달제도 개선도 이뤄지기를 기대한다"고 덧붙였다.

글·사진=팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.