법제도/정책

정보보호‧SW 인증제도 완화, 기간부터 비용까지 절반 이상 낮춘다

최민지 기자

[ⓒ 과기정통부]
[ⓒ 과기정통부]

[디지털데일리 최민지기자] 과학기술정보통신부(이하 과기정통부)가 정보보호‧소프트웨어(SW) 인증제도 부담을 대폭 낮춘다.

25일 과기정통부(장관 이종호)는 강도현 제2차관 주재로 서울 광화문 인근에서 ‘정보보호‧소프트웨어 인증제도 개선 간담회’를 열고, 정보보호‧소프트웨어 인증제도 개선방안을 발표했다. 이는 지난 2월27일 국정현안관계장관회의에서 발표된 ‘기업의 인증획득 부담 완화를 위한 인증규제 정비(관계부처 합동)’ 후속 조치 일환이다.

과기정통부는 정보보호‧SW 제품 안전성‧품질 강화를 위해 6개 법정 인증제도 ▲정보보호 관리체계인증(ISMS) ▲클라우드 보안인증(CSAP) ▲정보통신망 연결기기 등 정보보호인증(IoT) ▲정보보호제품 평가인증(CC) ▲정보보호제품 성능평가 ▲SW 품질인증(GS)을 운영 중이다. 이들 인증제도는 여러 순기능에도 불구하고 영세‧중소기업 등에 큰 부담으로 작용해왔다.

이에 과기정통부는 정보보호‧SW 품질 수준은 유지하되, 혁신을 저해하는 불필요‧불합리한 부담은 대폭 경감할 수 있도록 인증 기간, 인증 비용, 절차를 획기적으로 개선하기로 했다.

우선, CSAP는 불필요한 행정 처리 기간을 최소화해 인증 기간을 평균 5개월에서 2개월로 단축한다. 특히, 인증 및 평가기관의 심사인력을 추가 투입해 인증 적체를 즉각 해소하고, 신규 평가기관을 상반기 내 추가 지정해 증가하는 인증 수요에 적기 대응한다. 현재 추진 중인 수수료 지원 비율을 ▲중견기업 30% → 50% ▲중기업 50% → 80% ▲소기업 70% → 80%로 확대한다. 인증 획득 후 매년 실시했던 사후평가 방식도 개선해 사업자 비용과 행정부담을 완화한다.

이와 함께 ‘ISMS 간편인증제’를 도입한다. 일정 수준 이하의 중소기업(매출액 300억원 이하 등)에게 인증 점검항목을 경량화(80→40개 수준)하고, 수수료를 평균 1100→500만원으로 줄인다. 의무 대상 기준도 기존 정보통신서비스 부문 매출액 100억원 이상 기업에서 300억원 이상으로 상향하는 법 개정을 진행한다. 이메일‧우편 등 방식으로 진행하던 인증심사 절차를 전산시스템화해 심사 소요 기간을 평균 5개월에로 2개월로 단축한다. 침해사고 미발생 기업에는 매년 현장에서 받아야 하는 사후심사를 서면심사로 전환한다.

IoT 보안인증 경우, 파생모델 제도를 적용해 시험 기간을 15일에서 1~2일로, 수수료는 1300만원에서 70~140만원으로 줄인다. 정보보호제품 성능평가에선 사전 준비 컨설팅을 실시하고, 시험 수수료 지원을 확대한다.

아울러, 과기정통부는 CC 인증 시험인력을 단기간에 집중 투입해 시험 기간을 2개월로 단축하고, 신규 신청기업에 대한 시험 수수료를 50% 이상 감면하여 기존 5000만원 내외 고가의 수수료를 2000만원으로 절감한다. 인증‧시험기관, 산업계, 민간 전문가 연구반을 구성해 올해 8월까지 절차 간소화 및 시험 수수료의 근본적 절감 방안을 마련할 계획이다.

과기정통부는 GS인증 소요 기간을 평균 3개월에서 2개월로 단축하기 위해, 인증 수요가 5개의 인증기관으로 분산될 수 있도록 2021년 5월 신규 지정한 3개 인증기관 인증 분야를 확대한다. 수수료 부담 완화를 위해 경미한 변경(업데이트)에 대한 재인증 비용을 전액 면제(약 500만원)하고, 중대한 변경(업그레이드) 재인증 비용은 50% 감면(약 700만원)한다. 정보보호 인증제품 보안성 평가 면제(약 200만원 감면) 대상도 확대한다.

이 외에도, SW 품질에 영향이 적은 단순 변경 등 재인증이 불필요한 경우를 기업 스스로 판단할 수 있도록 체크리스트를 제공하고, 서비스형소프트웨어(SaaS) 제품 특성을 고려한 인증기준 정비 등 SaaS 품질인증 체계도 구축할 계획이다.

과기정통부는 이번 각 인증제도 개선안과 별도로, 정부‧수요기업 및 인증‧시험기관 간 간담회 등 정례 소통창구를 마련해 운영할 계획이며, 현재 인증‧시험을 진행 중인 수요기업도 5월1일 예정된 개선방안 시행 혜택을 받을 수 있도록 구제방안을 강구한다.

과기정통부 강도현 제2차관은 “정보보호‧SW 인증제도는 기업의 보안 역량 강화와 SW 품질 관리를 위해 꼭 필요한 제도임에도 변화에 대응하지 못해 수요기업에 부담으로 작용하고 있다”며 “이번 제도 개선을 통해 기업의 부담이 대폭 완화되고, 인증제도가 혁신적인 제품 및 서비스 확산의 촉매제로 거듭날 것”이라고 기대했다.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널