CSAP 기간 기존 5개월서 2개월로 손본다…중소기업 부담 경감

과기정통부, '정보보호‧소프트웨어 인증제도 개선 간담회' 개최

세종시 정부세종청사 4동 과학기술정보통신부. [사진=유대길 기자]

중소 소프트웨어(SW) 기업에 큰 부담으로 작용했던 클라우드보안인증(CSAP) 기간이 큰 폭으로 줄어든다. 정보보호관리체계(ISMS) 인증 역시 간편인증제를 도입해 기업의 부담을 줄이는 데 집중한다.

과학기술정보통신부는 강도현 제2차관 주재로 '정보보호‧소프트웨어 인증제도 개선 간담회'를 개최한다고 25일 밝혔다. 이번 간담회에서는 지난 2월 국정현안관계장관회의에서 발표된 '기업의 인증획득 부담 완화를 위한 인증규제 정비' 후속 조치의 일환으로 '정보보호‧소프트웨어 인증제도 개선방안'을 발표했다.

앞서 과기정통부는 지난 3월 서비스형 소프트웨어(SaaS) 기업 간담회를 비롯해 정보보호‧SW산업계 협‧단체와 주요 수요기업, 제도별 인증‧평가기관 등과 다수의 설명회·간담회를 진행해 왔다. 이는 현재 운영 중인 6개에 달하는 법정 인증제도가 중소기업에 큰 부담으로 작용해 왔다는 점을 염두에 둔 것이다.

이번에 과기정통부는 정보보호‧SW 품질 수준은 유지하되, 혁신을 저해하는 불필요‧불합리한 부담은 대폭 경감할 수 있도록 인증 기간, 인증 비용, 절차를 개선하기로 했다. 우선 CSAP 기간을 기존 5개월에서 2개월로 대폭 줄인다. 인증·평가기관의 심사 인력을 추가 투입하고, 신규 평가기관을 상반기 내 추가 지정해 증가하는 인증 수요에 대응할 방침이다. 

현재 추진 중인 수수료 지원은 지원 비율을 대폭 확대한다. 이를 통해 중소기업에 대해서는 기존 50~70%에서 최대 80%까지 지원 폭을 늘린다. 이와 함께 인증 획득 후 매년 실시했던 사후 평가는 평가 방식을 현장조사에서 서면 평가로 대체해 사업자 부담을 줄인다.

다만, 보안 수준 저하를 방지하기 위해 서면평가 미흡 기업에 대해서는 샘플링 현장 점검을 도입한다. 점검 결과가 미흡한 기업에 대해서는 매년 현장평가 실시 등 사후관리를 철저히 한다는 방침이다.

ISMS와 관련해서는 간편인증제를 선보인다. 매출 300억원 이하 중소기업을 대상으로는 인증 점검 항목을 기존 80개에서 40개로 줄이고, 수수료 역시 절반 수준을 감면한다. 인증심사 절차도 기존 이메일, 우편 등의 방식으로 진행되던 것을 벗어나 전산시스템화를 통해 심사 소요 기간을 평균 5개월에서 2개월로 줄인다. 만일 침해사고가 미발생했다면 해당 기업에 대해서는 매년 현장에서 받아야 하는 사후심사를 서면심사로 전환한다.

이외 사물인터넷(IoT) 등 정보통신망 연결기기의 보안인증 절차를 대폭 완화하고, 정보보호제품 평가·인증과 정보보호제품 성능평가도 수수료 절감 등의 조치를 취한다. SW 품질인증인 GS인증 역시 소요 시간을 평균 3개월에서 2개월로 단축하기 위한 조치를 취한다.

과기정통부는 이번 각 인증제도 개선안과 별도로, 정부‧수요기업과 인증‧시험기관 간 간담회 등 정례 소통창구를 마련해 운영할 계획이다. 현재 인증‧시험을 진행 중인 수요 기업도 이번 개선방안 시행 시 혜택을 받을 수 있도록 각 인증‧시험기관과 협의해 구제 방안을 마련한다.

강도현 차관은 "정보보호‧SW 인증제도는 기업의 보안 역량 강화와 SW 품질 관리를 위해 꼭 필요한 제도임에도 변화에 대응하지 못해 수요기업에 부담으로 작용하고 있다"며 "이번 제도 개선을 통해 기업의 부담이 대폭 완화되고, 인증제도가 혁신적인 제품·서비스 확산의 촉매제로 거듭날 것으로 기대한다"고 말했다.