보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[이슈인터뷰] 과기정통부 장두원 소프트웨어산업과장 “GS인증, 시스템관리·정보보호SW 등 확대”

입력 : 2024-05-27 01:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
TTA 외 4개 인증기관의 인지도 제고 위해 기업 대상 설명회, 6월 개최
GS인증 확대 분야 : 시스템관리SW, 정보보호SW, 산업특화SW
체크리스트 : SW 품질에 영향 적은 단순 변경 등 자체 판단할 수 있도록 구성 예정
재인증 비용 전액 면제 : 지원 운영체제 버전, 웹 브라우저 버전 등 경미한 변경


[보안뉴스 김경애 기자] 정부는 기업의 인증획득 부담 완화와 복잡한 인증 절차 간소화를 위해 최근 정보보호 6개 법정 인증제도의 개선방안을 발표한 바 있다. 개선되는 6개의 법정 인증제도는 △정보보호 관리체계인증(ISMS, 2002~) △클라우드 보안인증(CSAP, 2016~) △정보통신망 연결기기 등 정보보호인증(IoT, 2018~) △정보보호제품 평가인증(CC, 2002~) △정보보호제품 성능평가(2018~) △SW 품질인증(GS, 2001~)이다.

이와 관련해 <보안뉴스>는 지난 7일 [이슈인터뷰] 과기정통부 정은수 정보보호산업과장, “CC인증, 8월까지 개선안 마련·시행”, 15일 [이슈인터뷰] 과기정통부 최광기 사이버침해대응과장 “CSAP 인증 신규 평가기관, 5월중 공고”라는 제목으로 연속 보도한 바 있다. 이번에는 6개 법정 인증 제도 개선방안 릴레이 인터뷰 마지막 시간으로 과학기술정보통신부 소프트웨어산업과 장두원 과장과의 인터뷰를 통해 6번째 인증인 SW 품질인증(GS인증) 제도 개선 방향에 대해 들어봤다.

[이미지=gettyimagesbank]


SW 품질인증(GS인증)
Q. 인증기관의 인증 분야를 확대한다고 발표하셨는데, GS인증이 확대되는 분야는 어떤 분야인지 구체적으로 설명 부탁드립니다.
GS인증의 소요기간 단축을 위해 5개 GS인증 기관으로 기업 수요가 분산될 수 있도록, 지난 2021년 5월 신규 지정된 3개 인증기관인 한국화학융합시험연구원(KTR), 한국기계전기전자시험연구원(KTC), 부산IT융합부품연구소(CIDI)의 인증 분야를 확대하고자 합니다.

현재 3개 기관의 인증 분야는 △시스템관리SW △정보보호SW △산업특화SW 등인데요. 새롭게 확대되는 인증 분야는 기술 트렌드 변화에 따라 기업 수요 증가가 예상되는 인공지능(예 : AI모델학습SW, AI개발지원SW), 클라우드 컴퓨팅(예 : 서버가상화SW, 데스크톱가상화SW 등), 빅데이터(예: 데이터모델링SW, 검색엔진SW) 등 관련 분야가 될 예정입니다.

Q. GS인증 소요 기간 단축을 위해 ①시험 이관 ②시험원 충원 ③탄력적 인력 운영을 추진할 계획이라고 하셨는데, 어떤 기준으로 어디로 이관하는 등 3가지 사항에 대해 구체적인 계획이 궁금합니다.
먼저, ①TTA에 쏠린 인증 수요를 나머지 4개 기관으로 적극 이관할 수 있도록 매월 인증기관 협의회를 개최해 이관 협의를 추진할 예정입니다. 아울러 TTA 외 4개 인증기관의 인지도 제고를 위해 기업 대상 설명회도 오는 6월 개최할 예정입니다.

또한, 인증 분야 확대와 연계해 ②각 인증기관의 시험원을 충원해 대기기간을 단축하고, 신속하게 시험을 실시하는 등 소요 기간을 단축해 나가고자 합니다.

마지막으로 ③각 인증기관에서 GS인증 외, SW 시험‧검증 등을 담당하고 있는 시험원 중 GS인증 수행이 가능한 시험원이 GS인증 수요가 몰리는 연말, 연초에 GS인증 업무를 수행하도록 하는 등 각 인증기관의 시험 인력을 탄력적으로 운영할 예정입니다.

Q. SW 품질에 영향이 적은 단순 변경 등 재인증이 불필요한 경우를 기업 스스로 판단할 수 있도록 체크리스트를 제공한다고 하셨는데, 체크리스트의 주요 사항은 무엇인가요?
GS인증 획득 후, 해당 제품의 사소한 변경이 일어난 경우에도 인증을 다시 받아야 하는 것으로 오해하는 경우가 있습니다. 이에 체크리스트는 해당 변경이 이미지 또는 메시지 파일 변경 등 SW 품질에 영향이 적은 단순 변경에 해당되는지 여부를 확인하고, 그 결과에 따라 자체적으로 재인증 필요 여부를 판단할 수 있도록 구성될 예정입니다.

Q. 재인증 비용이 전액 면제되는 경미한 변경(업데이트)에 대한 구체적인 예시와 기준에 대해 설명 부탁드립니다.
소프트웨어 제품은 출시 후 사용자의 만족도와 품질 향상을 위해 지속적인 패치가 이루어지게 됩니다. 이 과정에서 지원하는 운영체제 버전(윈도우즈 7→10), 웹 브라우저 버전 등이 변경되기도 합니다. 이러한 경우, 경미한 변경에 해당해 재인증 비용 전액 면제가 가능합니다. 또한, 제품의 사용성 향상을 위해 사용자 인터페이스(UI) 일부를 변경한 경우도 경미한 변경에 해당되어 재인증 비용 전액 면제가 가능합니다.

Q. 재인증 비용 50% 감면에 대한 중대한 변경 예시와 구체적인 기준이 궁금합니다.
기업들은 제품 출시 계획에 따라 주기적으로 신기능을 추가해 제품을 출시합니다. 제품 최초 출시 때 GS인증을 획득했다면, 이후 신기능이 추가되어 재출시되는 제품은 50% 감면을 받을 수 있습니다. 주로 제품의 메이저 버전(예: v1.0→2.0)이 변경되는 경우가 해당될 수 있는데요. 예를 들어, 방화벽, 침입방지시스템(IPS) 등과 같은 보안 제품들은 보안 위협이 변화함에 따라 주기적으로 최신 기술을 적용해 탐지능력을 향상시킨 신버전을 출시하고 있습니다. 이 경우 50% 감면 대상이 될 수 있습니다.

Q. GS인증 소요 기간이 3개월에서 2개월로, 1개월 단축되는 게 얼마만큼 효과적인지 궁금합니다.
GS인증을 신청하는 대부분의 기업들은 수요처가 지정한 납품기한, 우수조달 신청마감일, 과제 결과물 제출일 등 인증 획득 기한이 정해져 있는 경우가 많습니다. 이에 기존 3개월이 걸리던 소요시간을 2개월로 단축해 기업들이 해당 기한에 맞춰 인증을 획득할 수 있도록 지원하고자 합니다. 이번 제도개선을 통한 소요기간 단축이 GS인증 획득에 대한 기업 부담을 해소하고 공공시장에 적시 진출하는 등의 도움이 될 것으로 기대합니다.

Q. GS인증은 보안 솔루션 기업도 많이 획득하고 있는데요. GS인증 제도 개선과 관련해 보안 솔루션 기업의 유의사항 및 당부사항에 대해 말씀 부탁드립니다.
이번 개선안을 통해 GS인증 관련 보안 솔루션 기업들의 어려움이 조금이나마 해소되기를 바랍니다. 특히, CC인증 외에 정보보호 사전 인증(보안기능확인서, 성능평가, 신속확인제)을 획득한 경우, GS인증 평가항목 중 보안성 평가를 면제해 소요기간 단축과 비용을 절감할 수 있도록 했으니 적극 활용해 주시기를 바랍니다.

Q. 현재 진행 중인 SaaS 품질인증 체계의 구축 계획이 궁금합니다.

▲과학기술정보통신부 소프트웨어산업과 장두원 과장[사진=과기정통부]

현 GS인증 평가항목 중에는 SaaS 제품에 적용하기 어려운 항목이 일부 있어 불필요한 자료 검토 등에 시간이 소요되고 있습니다. 예를 들어, SaaS 제품은 ‘설치’가 불필요하나, 현행 GS인증에서는 관련 평가항목을 포함하고 있습니다. 이에 국제 표준, 타 인증사례 등을 참고해 SaaS 특성에 맞는 평가기준을 올 상반기 중에 마련하고, 하반기에는 기업 의견수렴, 고시 및 GS인증 설명서를 개정할 예정입니다.

특히, 한국 주도로 클라우드 서비스 품질 평가 항목(ISO/IEC TS 25052) 제정을 오는 2025년 진행할 예정입니다. 또한 SaaS 제품 특성 분석으로 이식성, 호환성 등의 신규 항목과 확장성 항목 등을 발굴할 계획입니다.

Q. SW 품질인증 제도 개선방안과 관련해 관련 업계의 추가 요구사항 또는 의견 등에 대해서는 어떻게 대응하실 계획인가요?
지난 4월 25일 정보보호‧SW 제도개선 방안 발표 이후, 한국SW산업협회(KOSA)와 정보보호산업협회(KISIA)에서 환영 성명을 발표하는 등 산업계에서 긍정적인 화답을 주셨습니다. 이러한 산업계의 기대에 부응할 수 있도록 개선방안 각 과제들의 후속조치를 신속하게 추진해 나갈 계획입니다. 아울러 이미 지난 1일부터 시행하고 있는 주요 개선사항인 기간 단축과 재인증 비용 감면과 관련해서는 각 인증기관의 추진현황을 지속적으로 점검해 나갈 예정입니다.

Q. GS인증 제도 개선 시행과 관련해 향후 계획이 궁금합니다.
정보보호 사전인증 제품의 보안성 평가 면제 대상 확대, 업데이트 재인증 비용 면제 및 감면, 사전검토 서비스 제공과 관련해서는 지난 5월 1일부터 이미 시행하고 있습니다. 이 외에도 재인증 기준 명확화, SaaS 특화 기준 등과 관련해서는 올해 상반기 중에 방안을 마련하고, 기업 의견수렴 등을 통해 하반기 중 조치를 완료할 계획입니다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)