2개월 내 인증획득…SW기업 보안인증 부담 확 줄였다

모든 정보보호·SW 인증 2개월 내로 단축
수수료도 5000만원에서 500만~2000만원으로 낮춰
ISMS 간편인증·IoT인증 파생모델 제도 도입해 간소화

등록 2024-04-25 오후 2:24:35

수정 2024-04-25 오후 2:50:25
가 가

[이데일리 임유경 기자] 정부가 소프트웨어(SW) 기업의 인증 획득 부담을 완화하기 위한 제도개선을 추진한다. 주요 정보보호 및 SW품질 인증을 획득하는 데 소요되는 기간을 기존 평균 5개월에서 2개월로 단축하고, 인증별 최대 5000만원에 이르렀던 인증 수수료를 500만~2000만원까지 낮추기로 했다.

과학기술정보통신부는 25일 이 같은 내용을 골자로 한 ‘정보보호·SW 인증제도 개선방안’을 발표했다. 이는 지난 2월 국정현안관계장관회의에서 발표된 관계부처 합동 ‘기업의 인증획득 부담 완화를 위한 인증규제 정비’의 일환이다.

25일 서울 광화문에서 열린 정보보호 소프트웨어 인증제도 개선 간담회에서 강도현 과기정통부 2차관(왼쪽에서 네 번째)과 업계 관계자들이 기념촬영을 하고 있다. (사진=임유경 기자)

과기정통부는 △정보보호 관리체계인증( ISMS) △ 클라우드 보안인증(CSAP) △ 정보통신망 연결기기 등 정보 보호인증(IoT) △ 정보보호제품 평가인증(CC)△ 정보보호제품 성능평가 △SW 품질인증(GS) 등 6개의 법정 인증제도 를 운영 중이다. 이들 인증제도가 SW 품질 수준은 유지하되, 혁신을 저해하는 불필요·불합리한 부담은 대폭 경감할 수 있도록 인증 기간·비용·절차를 개선하기로 하기로 했다.

CSAP, 인증기간 2개월로 줄이고 소기업에 수수료 80% 지원

먼저 CSAP는 불필요한 행정 처리 기간을 최소화해 인증 기간을 평균 5개월에서 2개월로 대폭 단축한다. 인증 및 평가기관의 심사인력을 추가 투입해 인증 적체를 해소하고, 신규 평가기관을 상반기 내 추가 지정해 증가하는 인증 수요에 적기 대응하겠다는 방침이다.

수수료 지원도 기업 규모에 따라 △중견기업 30%→ 50% △중기업 50% → 80% △소기업 70% → 80%로 대폭 확대한다. 최초 획득 후 매년 실시하는 사후평가는 평가방식을 현장평가(유료) 4회에서 서류평가(무료) 3회 및 2년 차 현장평가 1회로 개선해 업체들의 행정 업무 부담을 줄였다.

ISMS 인증에는 간편인증제를 도입한다. 매출액 300억원 이하의 중소기업에게 인증 점검항목을 경량화(80→40개 수준)하고, 수수료는 평균 1100만원에서 500만원으로 낮춘다. ISMS 의무 대상 기준을 매출액 100억원 이상의 기업에서 300억원 이상으로 높여, 대상을 완화했다. 또한 기존 이메일, 우편 등의 방식으로 진행하던 인증심사 절차를 전산시스템화해 심사 소요 기간을 평균 5개월에서 2개월로 단축하고, 매년 현장에서 받아야 하는 사후심사를 서면심사로 전환하는 등 인증제도 전반에 대한 개선을 지속적으로 추진할 예정이다.

CC인증은 평균 5개월 이상의 긴 소요 기간이 수요기업에 큰 부담으로 작용해왔던 만큼, 시험인력을 단기간에 집중 투입해 시험 기간을 2개월로 단축하고, 신규 신청기업에 대한 시험 수수료를 50% 이상 감면해 기존 5000만원에서 2000만원으로 낮췄다.

IoT보안인증·GS인증서 불필요한 절차 없애

이외에도 IoT 보안인증은 수요기업에서 색깔 등 간단한 디자인 일부 변경에도 신규 인증을 받아야 했으나, 기업 부담을 완화하기 위해 파생모델 제도를 도입함으로써 시험 기간을 15일에서 1~2일로 단축하고 수수료는 1300만원에서 700만~1400만원으로 대폭 개선한다.

GS인증은 소요 기간을 평균 3개월에서 2개월로 단축하기 위해, 인증 수요가 5개의 인증기관으로 분산될 수 있도록 2021년 5월 신규 지정한 3개 인증기관의 인증 분야를 확대하고, 적극적인 시험 이관 및 시험원 충원, 탄력적 인력 운영을 추진할 계획이다. 또한, 수수료 부담 완화를 위해 경미한 변경에 대한 재인증 비용을 전액 면제(약 500만원)하고, 중대한 변경 재인증 비용은 50% 감면(약 700만원)할 예정이다. 아울러, 정보보호 인증제품의 보안성 평가 면제(약 200만원 감면)대상도 확대할 계획이다.

또 SW 품질에 영향이 적은 단순 변경 등 재인증이 불필요한 경우를 기업 스스로 판단할 수 있도록 체크리스트를 제공하고, SaaS 제품 특성을 고려한 인증기준 정비 등 SaaS 품질인증 체계도 구축해 나갈 계획이다.

강도현 과기정통부 제2차관은 “정보보호·SW 인증제도는 기업의 보안 역량 강화와 SW 품질 관리를 위해 꼭 필요한 제도임에도 변화에 대응하지 못해 수요기업에 부담으로 작용하고 있다”며, “이번 제도 개선을 통해 기업의 부담이 대폭 완화 되고, 인증제도가 혁신적인 제품 및 서비스 확산의 촉매제로 거듭날 것으로 기대한다”고 말했다.