혁신 제품 인증 기간 인증별 최장 2개월 이내로 단축
중소기업 대상 수수료 지원과 경량화된 인증 적용으로 기업의 수수료 부담 절감
정보보호‧소프트웨어 품질 수준은 유지, 사후평가 등 불편한 절차는 개선
[보안뉴스 김경애 기자] 정보보호‧소프트웨어 인증제도가 시험기간과 수수료 절감 등 대폭 손질된다. 인증제도는 여러 순기능에도 불구하고 영세‧중소기업 등에 큰 부담으로 작용해왔기 때문이다. 이에 정부는 정보보호‧SW 품질 수준은 유지하되, 인증 기간, 인증 비용, 절차를 개선하기로 했다.
[자료=과학기술정보통신부]
개선되는 6개의 법정 인증제도는 △정보보호 관리체계인증(ISMS, 2002~), △클라우드 보안인증 (CSAP, 2016~), △정보통신망 연결기기 등 정보보호인증(IoT 2018~), △정보보호제품 평가인증(CC, 2002~), △정보보호제품 성능평가(2018~), △SW 품질인증(GS, 2001~)이다.
과학기술정보통신부(장관 이종호, 이하 과기정통부)는 지난 3월에 이어 강도현 제2차관 주재로 25일 광화문 인근에서 ‘정보보호‧소프트웨어 인증제도 개선 간담회’를 개최하고 의견을 수렴해 ‘정보보호‧소프트웨어 인증제도 개선방안’을 발표했다. 이는 2024년 2월 27일 국정현안관계장관회의에서 발표된 ‘기업의 인증획득 부담 완화를 위한 인증규제 정비(관계부처 합동)’의 후속 조치의 일환으로 주요 개선내용은 다음과 같다.
1. 클라우드 보안인증
클라우드 보안인증(CSAP: Cloud Security Assurance Program)은 불필요한 행정 처리 기간을 최소화해 인증 기간을 평균 5개월에서 2개월로 대폭 단축한다. 특히, 인증 및 평가기관의 심사인력을 추가 투입해 인증 적체를 즉각 해소하고, 신규 평가기관을 상반기 내 추가 지정하여 증가하는 인증 수요에 적기 대응한다는 방침이다.
또한, 현재 추진 중인 수수료 지원은 지원 비율을 대폭 확대하고, 인증 획득 이후 매년 실시했던 사후평가는 평가방식 개선(현장 → 서면 평가)을 통해 사업자의 비용 및 행정 부담을 완화할 계획이다. 다만, 보안 수준 저하를 방지하기 위해 서면 평가 미흡 기업에 대해서는 샘플링 현장 점검을 도입하고, 점검 결과가 미흡한 기업에 대해서는 매년 현장평가 실시 등 사후관리를 철저히 할 예정이다.
수수료 지원 비율은 △중견기업(30% → 50%), △중기업(50% → 80%), △소기업(70% → 80%)로 확대된다. 평가방식은 현장평가(유료) 4회 → 서류평가(무료) 3회+ 2년 차 현장평가(유료) 1회로 개선된다.
2. 정보보호관리체계 인증
정보보호관리체계 인증(ISMS: Information Security Management System)은 중소기업의 비용, 기간 등의 부담을 줄이기 위해 ‘ISMS 간편인증제’를 도입할 계획이다. 이를 통해 일정 수준 이하의 중소기업(매출액 300억원 이하 등)에게 인증 점검항목을 경량화(80→40개 수준)하고, 수수료를 줄이는(평균 1,100→500만 원) 한편, 의무 대상 기준도 완화할 예정이다.
의무 대상 기준 완화는 기존 정보통신서비스 부문 매출액 100억 원 이상의 기업에서 300억 원 이상으로 상향(법개정 예정)된다. 또한 기존 이메일, 우편 등의 방식으로 진행하던 인증심사 절차를 전산시스템화해 심사 소요 기간을 단축(평균 5→2개월)하고, 침해사고 미발생 기업에는 매년 현장에서 받아야 하는 사후심사를 서면심사로 전환하는 등 인증제도 전반에 대한 개선을 지속적으로 추진할 예정이다.
3. 정보통신망 연결기기 등(IoT) 보안인증
정보통신망 연결기기(IoT) 인증은 수요기업에서 색깔 등 간단한 디자인 일부 변경에도 신규 인증을 받아야 했다. 이에 기업 부담을 완화하기 위해 파생모델 제도를 도입해 시험 기간(15일→1~2일) 및 수수료(13백만 원→0.7~1.4백만 원)를 대폭 줄이도록 개선할 계획이다.
기 인증받은 제품에 대한 색깔, 간단한 디자인(사각형↔원형 등) 변경은 필수 보안 기능 확인 등 수수료가 완화(6백만 원(라이트), 13백만 원(베이직) → 0.7(A형, 단순외형형) ~ 1.4백만 원(B형, 일부내용시험))된다.
4. 정보보호제품 평가‧인증 및 정보보호제품 성능평가
정보보호제품 평가‧인증(CC: Common Criteria)은 평균 5개월 이상의 긴 소요 기간이 수요기업에 큰 부담으로 작용해왔던 만큼, 시험인력을 단기간에 집중 투입해 시험 기간을 2개월로 단축하고, 신규 신청기업에 대한 시험 수수료를 50% 이상 감면해 기존 5천만 원 내외 고가의 수수료를 2천만 원으로 절감하는 한편, 인증‧시험기관, 산업계, 민간 전문가 연구반을 구성하여 올해 8월까지 절차 간소화 및 시험 수수료의 근본적 절감 방안을 마련할 계획이다.
아울러, 정보보호제품 성능평가의 경우 기업의 가장 큰 애로사항인 제출물 작성의 어려움을 해소하기 위해 사전 준비 컨설팅을 실시하고, 중소‧영세 기업의 비용 부담 경감을 위한 시험 수수료 지원을 확대해 성능이 우수한 정보보호제품의 도입 및 유통을 활성화할 계획이다.
2024년 12개 사 대상 컨설팅 및 수수료 최대 1천만 원을 지원(평균 1,700만→ 700만, 70% 감소)한다.
5. SW 품질 인증
SW 품질인증(GS: Good Software)은 소요 기간을 평균 3개월에서 2개월로 단축하기 위해, 인증 수요가 5개의 인증기관으로 분산될 수 있도록 할 계획이다. 2021년 5월 신규 지정한 3개 인증기관의 인증 분야를 확대하고, 적극적인 시험 이관 및 시험원 충원, 탄력적 인력 운영을 추진하겠다는 방침이다.
인증기관은 한국정보통신기술협회(TTA), 한국산업기술시험원(KTL), (신규) 한국화학융합시험연구원(KTR), (신규) 한국기계전기전자시험연구원(KTC), (신규) 부산IT융합부품연구소(CIDI)이다.
또한, 수수료 부담 완화를 위해 경미한 변경(업데이트)에 대한 재인증 비용을 전액 면제(약 500만원)하고, 중대한 변경(업그레이드) 재인증 비용은 50% 감면(약 700만원)된다. 아울러, 정보보호 인증제품의 보안성 평가 면제(약 200만원 감면) 대상도 확대된다. 기존) CC인증 → CC인증, 보안기능확인서, 성능평가, 신속확인제로 확대된다.
이 외에도 SW 품질에 영향이 적은 단순 변경 등 재인증이 불필요한 경우를 기업 스스로 판단할 수 있도록 체크리스트를 제공하고, SaaS 제품 특성을 고려한 인증기준 정비 등 SaaS 품질인증 체계도 구축해 나갈 계획이다.
과기정통부는 정부 ‧ 수요기업 및 인증‧시험기관 간 간담회 등 정례 소통창구를 마련해 운영할 계획이다. 또한 현재 인증‧시험을 진행 중인 수요기업도 이번 개선방안의 시행(5월 1일 예정)시 혜택을 받을 수 있도록 각 인증‧시험기관과 협의해 구제방안도 마련할 예정이다.
과기정통부 강도현 제2차관은 “정보보호‧SW 인증제도는 기업의 보안 역량 강화와 SW 품질 관리를 위해 꼭 필요한 제도임에도 변화에 대응하지 못해 수요기업에 부담으로 작용하고 있다”며, “이번 제도 개선을 통해 기업의 부담이 대폭 완화되고, 인증제도가 혁신적인 제품 및 서비스 확산의 촉매제로 거듭날 것으로 기대한다”고 말했다.
[김경애 기자(boan3@boannews.com)]
중소기업 대상 수수료 지원과 경량화된 인증 적용으로 기업의 수수료 부담 절감
정보보호‧소프트웨어 품질 수준은 유지, 사후평가 등 불편한 절차는 개선
[보안뉴스 김경애 기자] 정보보호‧소프트웨어 인증제도가 시험기간과 수수료 절감 등 대폭 손질된다. 인증제도는 여러 순기능에도 불구하고 영세‧중소기업 등에 큰 부담으로 작용해왔기 때문이다. 이에 정부는 정보보호‧SW 품질 수준은 유지하되, 인증 기간, 인증 비용, 절차를 개선하기로 했다.
[자료=과학기술정보통신부]
개선되는 6개의 법정 인증제도는 △정보보호 관리체계인증(ISMS, 2002~), △클라우드 보안인증 (CSAP, 2016~), △정보통신망 연결기기 등 정보보호인증(IoT 2018~), △정보보호제품 평가인증(CC, 2002~), △정보보호제품 성능평가(2018~), △SW 품질인증(GS, 2001~)이다.
과학기술정보통신부(장관 이종호, 이하 과기정통부)는 지난 3월에 이어 강도현 제2차관 주재로 25일 광화문 인근에서 ‘정보보호‧소프트웨어 인증제도 개선 간담회’를 개최하고 의견을 수렴해 ‘정보보호‧소프트웨어 인증제도 개선방안’을 발표했다. 이는 2024년 2월 27일 국정현안관계장관회의에서 발표된 ‘기업의 인증획득 부담 완화를 위한 인증규제 정비(관계부처 합동)’의 후속 조치의 일환으로 주요 개선내용은 다음과 같다.
1. 클라우드 보안인증
클라우드 보안인증(CSAP: Cloud Security Assurance Program)은 불필요한 행정 처리 기간을 최소화해 인증 기간을 평균 5개월에서 2개월로 대폭 단축한다. 특히, 인증 및 평가기관의 심사인력을 추가 투입해 인증 적체를 즉각 해소하고, 신규 평가기관을 상반기 내 추가 지정하여 증가하는 인증 수요에 적기 대응한다는 방침이다.
또한, 현재 추진 중인 수수료 지원은 지원 비율을 대폭 확대하고, 인증 획득 이후 매년 실시했던 사후평가는 평가방식 개선(현장 → 서면 평가)을 통해 사업자의 비용 및 행정 부담을 완화할 계획이다. 다만, 보안 수준 저하를 방지하기 위해 서면 평가 미흡 기업에 대해서는 샘플링 현장 점검을 도입하고, 점검 결과가 미흡한 기업에 대해서는 매년 현장평가 실시 등 사후관리를 철저히 할 예정이다.
수수료 지원 비율은 △중견기업(30% → 50%), △중기업(50% → 80%), △소기업(70% → 80%)로 확대된다. 평가방식은 현장평가(유료) 4회 → 서류평가(무료) 3회+ 2년 차 현장평가(유료) 1회로 개선된다.
2. 정보보호관리체계 인증
정보보호관리체계 인증(ISMS: Information Security Management System)은 중소기업의 비용, 기간 등의 부담을 줄이기 위해 ‘ISMS 간편인증제’를 도입할 계획이다. 이를 통해 일정 수준 이하의 중소기업(매출액 300억원 이하 등)에게 인증 점검항목을 경량화(80→40개 수준)하고, 수수료를 줄이는(평균 1,100→500만 원) 한편, 의무 대상 기준도 완화할 예정이다.
의무 대상 기준 완화는 기존 정보통신서비스 부문 매출액 100억 원 이상의 기업에서 300억 원 이상으로 상향(법개정 예정)된다. 또한 기존 이메일, 우편 등의 방식으로 진행하던 인증심사 절차를 전산시스템화해 심사 소요 기간을 단축(평균 5→2개월)하고, 침해사고 미발생 기업에는 매년 현장에서 받아야 하는 사후심사를 서면심사로 전환하는 등 인증제도 전반에 대한 개선을 지속적으로 추진할 예정이다.
3. 정보통신망 연결기기 등(IoT) 보안인증
정보통신망 연결기기(IoT) 인증은 수요기업에서 색깔 등 간단한 디자인 일부 변경에도 신규 인증을 받아야 했다. 이에 기업 부담을 완화하기 위해 파생모델 제도를 도입해 시험 기간(15일→1~2일) 및 수수료(13백만 원→0.7~1.4백만 원)를 대폭 줄이도록 개선할 계획이다.
기 인증받은 제품에 대한 색깔, 간단한 디자인(사각형↔원형 등) 변경은 필수 보안 기능 확인 등 수수료가 완화(6백만 원(라이트), 13백만 원(베이직) → 0.7(A형, 단순외형형) ~ 1.4백만 원(B형, 일부내용시험))된다.
4. 정보보호제품 평가‧인증 및 정보보호제품 성능평가
정보보호제품 평가‧인증(CC: Common Criteria)은 평균 5개월 이상의 긴 소요 기간이 수요기업에 큰 부담으로 작용해왔던 만큼, 시험인력을 단기간에 집중 투입해 시험 기간을 2개월로 단축하고, 신규 신청기업에 대한 시험 수수료를 50% 이상 감면해 기존 5천만 원 내외 고가의 수수료를 2천만 원으로 절감하는 한편, 인증‧시험기관, 산업계, 민간 전문가 연구반을 구성하여 올해 8월까지 절차 간소화 및 시험 수수료의 근본적 절감 방안을 마련할 계획이다.
아울러, 정보보호제품 성능평가의 경우 기업의 가장 큰 애로사항인 제출물 작성의 어려움을 해소하기 위해 사전 준비 컨설팅을 실시하고, 중소‧영세 기업의 비용 부담 경감을 위한 시험 수수료 지원을 확대해 성능이 우수한 정보보호제품의 도입 및 유통을 활성화할 계획이다.
2024년 12개 사 대상 컨설팅 및 수수료 최대 1천만 원을 지원(평균 1,700만→ 700만, 70% 감소)한다.
5. SW 품질 인증
SW 품질인증(GS: Good Software)은 소요 기간을 평균 3개월에서 2개월로 단축하기 위해, 인증 수요가 5개의 인증기관으로 분산될 수 있도록 할 계획이다. 2021년 5월 신규 지정한 3개 인증기관의 인증 분야를 확대하고, 적극적인 시험 이관 및 시험원 충원, 탄력적 인력 운영을 추진하겠다는 방침이다.
인증기관은 한국정보통신기술협회(TTA), 한국산업기술시험원(KTL), (신규) 한국화학융합시험연구원(KTR), (신규) 한국기계전기전자시험연구원(KTC), (신규) 부산IT융합부품연구소(CIDI)이다.
또한, 수수료 부담 완화를 위해 경미한 변경(업데이트)에 대한 재인증 비용을 전액 면제(약 500만원)하고, 중대한 변경(업그레이드) 재인증 비용은 50% 감면(약 700만원)된다. 아울러, 정보보호 인증제품의 보안성 평가 면제(약 200만원 감면) 대상도 확대된다. 기존) CC인증 → CC인증, 보안기능확인서, 성능평가, 신속확인제로 확대된다.
이 외에도 SW 품질에 영향이 적은 단순 변경 등 재인증이 불필요한 경우를 기업 스스로 판단할 수 있도록 체크리스트를 제공하고, SaaS 제품 특성을 고려한 인증기준 정비 등 SaaS 품질인증 체계도 구축해 나갈 계획이다.
과기정통부는 정부 ‧ 수요기업 및 인증‧시험기관 간 간담회 등 정례 소통창구를 마련해 운영할 계획이다. 또한 현재 인증‧시험을 진행 중인 수요기업도 이번 개선방안의 시행(5월 1일 예정)시 혜택을 받을 수 있도록 각 인증‧시험기관과 협의해 구제방안도 마련할 예정이다.
과기정통부 강도현 제2차관은 “정보보호‧SW 인증제도는 기업의 보안 역량 강화와 SW 품질 관리를 위해 꼭 필요한 제도임에도 변화에 대응하지 못해 수요기업에 부담으로 작용하고 있다”며, “이번 제도 개선을 통해 기업의 부담이 대폭 완화되고, 인증제도가 혁신적인 제품 및 서비스 확산의 촉매제로 거듭날 것으로 기대한다”고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
