[서울=뉴시스] 조성우 기자 = 강도현 과학기술정보통신부 제2차관이 25일 오후 서울 종로구 국가과학기술자문회의 대회의실에서 열린 정보보호·SW 인증제도 개선 간담회에서 인사말을 하고 있다. 2024.04.25. xconfind@newsis.com

<이미지를 클릭하시면 크게 보실 수 있습니다>

[서울=뉴시스]심지혜 기자 = 정부가 정보보호·소프트웨어(SW) 인증제도를 대폭 개선한다. 평균 5개월가량 걸리던 인증 기간을 2개월로 단축하고 수수료도 낮춘다. 정부는 이같은 조치로 인증을 받는 기업이 늘어나 신뢰성이 높아지는 것은 물론 관련 기업들의 경쟁력을 강화하는 계기가 될 것으로 봤다.

이번 제도 개선에 대해 업계에선 ‘고무적’이라는 반응이 나왔다. 수년동안 운영되던 인증제도가 기간, 비용, 절차에 있어 획기적으로 바뀌었다는 평가다.

과학기술정보통신부는 25일 강도현 제2차관 주재로 간담회를 열고 정보보호·SW 인증제도 개 개편안을 발표했다.

개편 대상은 ▲정보보호관리체계인증(ISMS) ▲클라우드 보안인증(CSAP) ▲정보통신망 연결기기 등 정보보호인증(IoT) ▲정보보호제품 평가인증(CC) ▲정보보호제품 성능평가 ▲SW 품질인증(GS) 등 6개의 법정 인증제도다.

강 차관은 ”증제도는 오랫동안 새로운 보안 제품과 서비스의 안정성 확보, 소프트웨어 품질 향상에 기여해 왔지만 인증을 받기까지 오랜 시간이 걸려 혁신 제품이 시장에 즉시 나오지 못하는 문제도 있었다“며 ”비용 문제 또한 부담으로 작용했다“고 설명했다.

이어 ”기간 단축으로 인증 기관의 부담이 생기겠지만, 시장에 적기 대응하기 위해선 과감한 혁신이 필요하다고 판단했다“며 ”앞으로 더 챙겨갈 부분이 있다면 듣겠다“고 했다.

[서울=뉴시스] 25일 과학기술정보통신부에 따르면 정부가 정보보호·소프트웨어(SW) 인증체계를 확 뜯어 고친다. 평균 5개월 가량 걸렸던 클라우드보안인증(CSAP), 정보보호제품 평가인증(CC) 심사 기간을 2개월로 단축한다. 5000만원에 달했던 CC 인증 수수료를 2000만원 수준으로 낮추는 등 정부 인증 비용도 대폭 줄이기로 했다. (그래픽=전진우 기자) 618tue@newsis.com

<이미지를 클릭하시면 크게 보실 수 있습니다>

평균 5개월 걸리던 소요기간 2개월로…수수료도 절반 이상 낮춰

과기정통부는 정보보호관리체계인증(ISMS)에서 간편인증제를 도입, 매출액 300억원 이하 등 일정 기준을 충족하는 중소기업은 인증 점검항목을 경량화(80→40개 수준)하고, 수수료를 평균 1100만원에서 500만원으로 낮춘다.

또 기존 이메일, 우편 등의 방식으로 진행하던 인증심사 절차를 전산시스템화해 평균 5개월이 걸리던 심사 소요 기간을 2개월로 단축한다. 침해사고 미발생 기업에는 매년 현장에서 받아야 하는 사후심사를 서면심사로 전환한다.

클라우드보안인증(CSAP)은 인증 기간을 평균 5개월에서 2개월로 단축한다. 수수료 지원 비율은 소기업 기준 최대 80%로 늘린다.

인증 획득 이후 매년 실시했던 사후평가는 현장대신 서면 평가로 대체한다. 보안 수준 저하를 방지하기 위해 서면 평가 미흡 기업에 대해서는 샘플링 현장 점검을 도입하고, 점검 결과가 미흡한 기업에 대해서는 매년 현장평가를 실시할 계획이다.

정보보호제품 평가인증(CC)도 시험기간을 평균 5개월에서 2개월로 단축한다. 시험 수수료는 50% 이상 감면하고, 정보보호제품 성능평가에 대해서는 사전 준비 컨설팅을 실시한다.

정보통신망 연결기기(IoT) 인증은 색깔이나 간단한 디자인만 변경해도 신규 인증을 받아야 했는데 파생모델 제도를 도입, 15일이 걸렸던 시험기간을 1~2일로 단축하고 수수료도 1300만원에서 70만~140만원 수준으로 낮아질 수 있도록 개선한다.

SW품질인증(GS)은 평균 3개월 소요되던 기간을 2개월로 단축하기 위해 인증 수요가 5개의 인증기관으로 분산될 수 있도록 추진한다. 경미한 변경(업데이트)에 대한 재인증 비용을 전액 면제(약 500만원)하고 중대한 변경(업그레이드) 재인증 비용은 50% 감면(약 700만원)한다. 정보보호 인증제품의 보안성 평가 면제(약 200만원 감면) 대상도 확대한다.

이외에도 단순 변경 등 재인증이 불필요한 경우를 기업 스스로 판단할 수 있도록 체크리스트를 제공하고, 서비스형소프트웨어(SaaS) 제품 특성을 고려한 인증기준도 정비한다.

이번 개선방안은 다음달 1일부터 시행한다.

정창림 과기정통부 정보보호네트워크정책관은 ”반기에 한번씩 정례 간담회를 열고 현장에서 들어오는 애로사항을 듣고 즉시 개선하도록 할 것“이라고 말했다.

업계 "제도개선 모범사례"…"경쟁력 강화 측면서 좋은 기회"

이번 발표에 대해 관련 업계는 즉각 환영의 뜻을 나타냈다. 이날 간담회에 참석한 조준희 한국소프트웨어산업협회장은 ”여러 허들이 됐던 문제를 개선, 도움이 되는 모범사례로 전 부처가 허들이 됐던 문제를 빠르게 개선하는데 도움이 되는 계기가 됐으면 한다“라며 ”정부가 선도적으로 제도 개선을 한 것에 놀랐다“고 말했다.

이동범 한국정보보호산업협회 명예회장은 ”제때 인증을 받는 기업이 R&D(연구개발)를 잘하는 기업보다 우수해 보이는 효과가 날 정도로 인증제도가 시장에 미치는 영향이 크다"며 "이번 인증제도 개선이 조달 제도와 같이 연계해 계속 개선이 이뤄졌으면 한다“고 했다.

정삼용 시큐아이 대표는 ”상당히 고무적“이라며 ”비용과 일정, 산업현장의 경쟁력을 강화하는 측면에서 좋은 기회“라고 평가했다.

정상원 이스트소프트 대표는 "IoT 빼고는 언급된 인증을 다 받고 있다"며 "영업이익에서 변화를 줄 정도로 큰 변화"라고 했다.

다만 일각에선 제도 개선으로 보안성이 약화될 수 있다는 우려도 나온다. 이 명예회장은 ”SW는 계속 변하는데 재평가가 너무 엄격하다보니 옛날 버전을 유지하는 사례가 있다. 이는 오히려 품질이 낮아지는 문제를 야기한다“며 ”제도가 효율적으로 반영된다면 오히려 보안성, 품질 문제를 잡을 수 있다“고 말했다.

☞공감언론 뉴시스 siming@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개

<저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>