"보안인증제 개편, 기준 아닌 문턱 낮아진 것…기업 신뢰 높아질 것"

[인터뷰] 오진영 한국인터넷진흥원 디지털안전본부장

"성숙된 정보보호 시장…제도 개편 목소리와 맞물려 빠르게 추진"

"인증은 기업 신뢰성 높이는 제도…부담 줄어 참여 기업 늘어날 듯"

"정보보호 기준 낮아진 것 아냐…사후관리 더욱 철저"

[서울=뉴시스] 조성우 기자 = 오진영 한국인터넷진흥원(KISA) 디지털안전본부장이 서울 종로구 국가과학기술자문회의에서 뉴시스와 인터뷰를 하고 있다. 2024.05.01. xconfind@newsis.com

[서울=뉴시스]심지혜 기자 = "정보보호 인증제도의 기간, 비용, 절차가 대폭 개선됐습니다. 더 많은 기업이 인증을 받아 신뢰성을 확보할 수 있는 기회가 될 것으로 기대됩니다. 대신 이전 대비 인증 수준이 떨어지지 않도록 철저하게 대비하겠습니다.

한국인터넷진흥원(KISA)의 오진영 디지털안전본부장은 1일 정보보호 인증제 개선안과 관련해 뉴시스와의 인터뷰에서 이같이 말했다. KISA는 정보보호 인증제도와 관련해 실제 인증절차 전반을 관장하고 심사 평가하는 기관이다.

정보보호 인증제도는 기업들의 사이버위헙 대응 역량을 높이고 ICT·정보보호 제품의 안전성 및 품질 강화를 목적으로 평가 인증하는 제도다. 국가 정보보호 역량과 국산 제품 경쟁력 향상에 기여해왔다.

다만 인증 적체와 과도한 인증 소요 기간으로 제품·서비스가 적기 시장에 적용되는데 걸림돌이 되고 있다는 지적을 받았다. 또 기업의 시스템 규모, 경영 여건 등을 고려하지 않은 수수료와 사후평가(매년 수행) 체계는 중소기업에겐 적잖은 부담이 돼왔던 것도 현실이다.

"성숙한 정보보호 시장…인증제도 개편 적기"

정부가 정보보호·소프트웨어(SW) 인증제도를 확 뜯어 고치는 이유도 이 때문이다. 과학기술정보통신부는 ▲정보보호관리체계인증(ISMS) ▲클라우드 보안인증(CSAP) ▲정보통신망 연결기기 등 정보보호인증(IoT) ▲정보보호제품 평가인증(CC) ▲정보보호제품 성능평가 ▲SW 품질인증(GS) 등 6개의 법정 인증제에 대한 심사 및 수수료 체계 개선안을 1일부터 시행하기로 했다.

평균 5개월이 걸리던 인증 기간을 2개월로 줄이고 수수료를 50% 이상 낮추는 게 핵심이다. 일례로 CC인증의 경우 약 5000만원의 수수료 비용이 들었는데, 이번 개편으로 대략 2000만원 수준으로 낮아진다. CSAP에서는 소기업 수수료를 80%까지 지원한다.

오 본부장은 "기초체력이 튼튼하지 않으면 아무것도 안 되는 만큼, 인증 제도는 정보보호를 위한 기초체력이나 마찬가지"라며 "취약점이 계속 나올 수밖에 없는 구조적 환경에 계속 대응해 나가려면 인증제도가 잘 갖춰져 있어야 한다"고 강조했다.

그는 "기초체력을 갖추기 위한 절차와 조건 때문에 기업들이 어려움을 겪지 않도록 하겠다는 게 이번 제도 개선의 취지"라고 설명했다.

정부는 그간 인증별 단편적인 개편은 종종 진행해 왔지만 6개 인증 제도 전반을 대대적으로 손보기는 이번이 처음이다.

오 본부장은 "그동안 조금씩 개편이 이뤄져왔지만 국민, 기업, 평가기관 등 다양한 이해 관계자가 얽혀있어 한번에 조율하지 못했다"며 "그러다 이제는 시장이 어느 정도 무르익은 만큼 고쳐보자는 목소리가 모면서 개편이 힘을 받을 수 있었다"고 강조했다.

[서울=뉴시스] 조성우 기자 = 오진영 한국인터넷진흥원(KISA) 디지털안전본부장이 서울 종로구 국가과학기술자문회의에서 뉴시스와 인터뷰를 하고 있다. 2024.05.01. xconfind@newsis.com

인증제도 획득=신뢰성 확인…"참여 기업 늘어날 듯"

이번 개편으로 기간, 수수료뿐 아니라 수요기업으로 불편함을 유발했던 절차들도 개선된다. 인증은 유효기간이 있어 갱신이 필요한데 이를 늘리기로 한 것이다. 또 일부 인증은 매년 현장 사후평가를 받아야 하는데 서면으로 대체하기로 했다.

ISMS는 3년이던 인증 유효기간을 5년으로 바꾸고, 인증 후 3년간 침해사고가 발생하지 않을 경우 사후평가를 서면으로 진행한다. CSAP는 현장 사후평가도 서면으로 전환한다. 효력이 5년인 CC는 기간을 5년 더 늘릴 수 있도록 하는 평가를 실시하고 취약점 점검 방식 등의 절차 간소화도 추진한다.

정보보호 인증 문턱이 낮아진 만큼 많은 기업들이 인증 신청이 더욱 늘어날 것으로 기대된다. 기업 입장에선 인증은 안정성과 신뢰성을 확인받을 수 있는 수단이 될 수 있다.

오 본부장은 "정보보호 인증을 받는 것은 그만큼 안전하다는 의미를 내포하고 있는 만큼 경쟁력을 확보한 기업으로 비쳐질 수 있다"며 "일례로 ISMS를 획득해야 하는 의무 기업은 525개이지만, 대략 1200개 기업이 이 인증을 받은 것도 이 때문"이라고 말했다.

그는 "인증제도가 개선되면 시간과 비용 부담이 줄어드는 만큼 참여가 더욱 늘어날 것으로 예상된다"며 "마케팅 전략으로 활용할 수 있을 것"이라고 부연했다.

반대로 인증기관이나 평가기관 입장에선 그만큼 부담이 늘어난다. 당장 5개월 동안 진행한 절차를 2개월 안에 해야 한다. 이를 위해선 프로세스 개선과 평가 인력 확대가 필요하다.

오 본부장은 "이제 시작한 만큼 최소 6개월 동안은 적응 기간이 될 것"이라며 "인증 기간이 절반 이상 줄어드는데, 이를 위해서는 각종 프로세스를 ‘다이어트’해야 가능하다"며 "필요 절차들을 줄이는 것만으론 안 된다. 인력도 그만큼 더 투입해야 한다"고 말했다.

그렇다고 당장 인력을 과감하게 늘릴 수도 없다. 인건비는 인증 수수료를 통해 지급되는데 수수료를 절반 이상 낮춘 상황이기 때문이다.

오 본부장은 "평가인력은 상당히 숙련된 고급 인력"이라며 "수수료에서 최소한의 재경비와 기술비를 제외하면 대부분이 인건비"라고 했다.

이어 "많은 평가 인력을 상시 고용하려면 그만큼 수요가 충분해야 하는데, 아직은 예측이 어렵다"고 "이번 제도 개편으로 꾸준히 수요가 늘어나면 안정적으로 고용할 수 있을 것"이라고 덧붙였다.

"인증기준 낮아진 것 아냐"…사후평가 철저하게 한다

일각에선 이번 인증제도 개편을 두고 우려의 목소리도 나온다. 현장으로 진행하던 일부 인증제도에 대한 사후평가가 서면으로 바뀌고, 인증 유효기간이 늘어나면서 인증 품질의 지속성을 담보할 수 있느냐는 것이다.

오 본부장은 "제도 개선으로 편의성이 커졌지만, 그만큼 책임이 강화된 것으로도 볼 수 있다"며 "마냥 풀어주기만 한 것은 아니다"고 강조했다.

그는 "서면점검은 현장 점검 이전에 취약점을 미리 테스트해 볼 수 있도록 체크리스트를 주는 것"이라며 "CSAP의 경우 사후평가를 서면으로 진행하지만 샘플링 현장점검을 도입, 인증 이후 상황을 꼼꼼하게 확인할 것"이라고 말했다.

정부는 반기에 한 번씩 정례간담회를 갖고 제도 개편 이후의 현장 의견을 지속해서 수렴할 예정이다.

오 본부장은 "인증을 담당하는 기관 입장에선 앞으로가 더 중요하다"며 "잘 지키는 기업을 대상으로는 인센티브를 주는 등 보안성을 강화하기 위한 방안을 계속해서 강구해 나갈 것"이라고 했다.

☞공감언론 뉴시스 siming@newsis.com

▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개

<저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>