"심사기간 평균 5개월→2개월, 수수료도 확 줄인다"…정부, 보안·SW 인증체계 개선

등록 2024.04.25 14:00:00수정 2024.04.25 15:18:52

과기정통부, 클라우드보안·CC인증 등 정보보호·SW 인증제도 개선…내달 시행

인증별 수수료 최대 5000만원서 약 500만~2000만원으로 인하

사후평가 방식도 개선…현장 대신 서면평가로 대체

"심사기간 평균 5개월→2개월, 수수료도 확 줄인다"…정부, 보안·SW 인증체계 개선

[서울=뉴시스]심지혜 기자 = 정부가 정보보호·소프트웨어(SW) 인증체계를 확 뜯어 고친다. 평균 5개월 가량 걸렸던 클라우드보안인증(CSAP), 정보보호제품 평가인증(CC) 심사 기간을 2개월로 단축한다. 5000만원에 달했던 CC 인증 수수료를 2000만원 수준으로 낮추는 등 정부 인증 비용도 대폭 줄이기로 했다.

인증 심사 소요 기간에 따른 인증 적체와 수수료 부담 등으로 중소벤처기업들이 새로운 제품·서비스를 적기에 출시해 산업 경쟁력을 키우겠다는 취지다.

과학기술정보통신부는 25일 강도현 제2차관 주재로 정보보호·SW 인증제도 개선 간담회를 열고 이같은 개편안을 발표했다. 이는 지난 2월 국정현안관계장관회의에서 발표된 ‘기업의 인증획득 부담 완화를 위한 인증규제 정비(관계부처 합동)’의 후속 조치다.

과기정통부는 정보보호·SW 제품의 안전성 및 품질 강화를 위해 ▲정보보호관리체계인증(ISMS) ▲클라우드 보안인증(CSAP) ▲정보통신망 연결기기 등 정보보호인증(IoT) ▲정보보호제품 평가인증(CC) ▲정보보호제품 성능평가 ▲SW 품질인증(GS) 등 6개의 법정 인증제도를 운영하고 있다.

이들 인증제도는 여러 순기능이 있음에도 영세·중소기업 등에 부담으로 작용해 제도를 개선해달라는 요구가 꾸준히 제기돼 왔다.

이에 과기정통부는 정보보호·SW 품질 수준은 유지하되 혁신을 저해하는 불필요·불합리한 부담을 경감할 수 있도록 인증 기간, 인증 비용, 절차를 개선하기로 했다.

[서울=뉴시스] 정보보호 소프트웨어 인증제도 개선방안

5개월 걸리던 심사기간 2개월로 단축…5000만원 들던 수수료 절반 이하로 뚝

우선 정보보호관리체계인증(ISMS)에서 중소기업의 비용, 기간 등의 부담을 줄이기 위해 간편인증제를 도입한다. 이를 통해 일정 수준 이하의 중소기업(매출액 300억원 이하 등)에게 인증 점검항목을 경량화(80→40개 수준)하고, 수수료를 평균 1100만원에서 500만원으로 낮춘다.

의무 대상 기준도 완화한다. 기존 정보통신서비스 부문 매출액 100억원 이상의 기업에서 300억원 이상으로 상향 조정할 예정이다.

또 기존 이메일, 우편 등의 방식으로 진행하던 인증심사 절차를 전산시스템화해 평균 5개월이 걸리던 심사 소요 기간을 2개월로 단축한다. 침해사고 미발생 기업에는 매년 현장에서 받아야 하는 사후심사를 서면심사로 전환한다.

클라우드보안인증(CSAP)는 불필요한 행정 처리 기간을 최소화하는 게 핵심이다. 인증 기간을 평균 5개월에서 2개월로 단축한다. 특히 인증 및 평가기관의 심사인력을 추가 투입하고 상반기 내 신규 평가기관을 추가 지정해 증가하는 인증 수요에 적극 대응한다는 방침이다.

수수료 지원 비율도 대폭 확대한다. 중견기업은 30%에서 50%, 중기업 50%에서 80%, 소기업70%에서 80%로 늘린다.

인증 획득 이후 매년 실시했던 사후평가는 사업자의 비용 및 행정 부담 완화를 위해 현장대신 서면 평가로 대체한다. 보안 수준 저하를 방지하기 위해 서면 평가 미흡 기업에 대해서는 샘플링 현장 점검을 도입하고, 점검 결과가 미흡한 기업에 대해서는 매년 현장평가를 실시하는 등 사후관리를 지속할 예정이다.

정보보호제품 평가인증(CC)도 시험기간을 평균 5개월에서 2개월로 단축한다. 시험 수수료는 50% 이상 감면해 기존 5000만원 수준의 수수료를 2000만원으로 낮춘다. 아울러 인증·시험기관, 산업계, 민간 전문가 연구반을 구성하여 올해 8월까지 절차 간소화 및 시험 수수료의 근본적 절감 방안을 마련할 계획이다.

정보보호제품 성능평가의 경우 제출물 작성의 어려움 해소를 위해 사전 준비 컨설팅을 실시하고, 중소·영세 기업의 비용 부담 경감을 위한 시험 수수료 지원을 확대하기로 했다. 과기정통부는 올해 12개 기업을 대상으로 컨설팅 및 수수료를 최대 1000만원까지 지원할 예정이다. 이를 통해 평균 1700만원이 필요했던 수수료가 70%가량 줄어들 것으로 예상된다.

정보통신망 연결기기(IoT) 인증은 수요기업에서 색깔 등 일부 변경에도 신규 인증을 받아야 했다. 과기정통부는 파생모델 제도를 도입, 15일이 걸렸던 시험기간을 1~2일로 단축하고 수수료도 1300만원에서 70만~140만원 수준으로 낮아질 수 있도록 개선한다.

SW품질인증(GS)은 한국화학융합시험연구원(KTR), 한국기계전기전자시험연구원(KTC), 부산IT융합부품연구소(CIDI) 등 인증기관의 인증 분야를 확대한다. 이에 따라 인증기관은 한국정보통신기술협회(TTA), 한국산업기술시험원(KTL) 등 2개에서 5개로 늘어난다. 과기정통부는 이를 통해 GS인증 소요기간이 평균 3개월에서 2개월로 줄어들 것으로 예상했다.

수수료 및 평가 부담 완화를 위해 경미한 변경(업데이트)에 대한 재인증 비용을 전액 면제(약 500만원)하고 중대한 변경(업그레이드) 재인증 비용은 50% 감면(약 700만원)한다. 정보보호 인증제품의 보안성 평가 면제(약 200만원 감면) 대상도 확대한다.

이외에도 단순 변경 등 재인증이 불필요한 경우를 기업 스스로 판단할 수 있도록 체크리스트를 제공하고, 서비스형소프트웨어(SaaS) 제품 특성을 고려한 인증기준도 정비한다.

과기정통부는 이번 각 인증제도 개선안과 별도로 정부·수요기업 및 인증·시험기관 간 간담회 등 정례 소통창구도 마련할 계획이다.

이번 개선방안은 다음달 1일부터 시행한다. 현재 인증·시험을 진행 중인 수요기업도 혜택을 받을 수 있도록 각 인증·시험기관과 협의, 구제방안도 마련할 방침이다.

강도현 과기정통부 제2차관은 "정보보호·SW 인증제도는 기업의 보안 역량 강화와 SW 품질 관리를 위해 꼭 필요한 제도임에도 변화에 대응하지 못해 수요기업에 부담으로 작용하고 있다"며 "이번 제도 개선을 통해 기업의 부담이 대폭 완화되고, 인증제도가 혁신적인 제품 및 서비스 확산의 촉매제로 거듭날 것으로 기대한다"고 말했다.

◎공감언론 뉴시스 [email protected]