고정→ 변동 수수료 적용, 제출물 검토 및 평가 중단 조건 강화

한국정보보호진흥원은 8월부터 CC인증 평가 수수료를 기존 고정수수료에서 평가 업무량에 따른 변동수수료로 변경한다. 또한 중소기업들의 경우 과거 평가 제품마다 60% 할인 혜택이 주어졌으나 앞으로 국내용 CC인증 평가 시 1년 1건의 제품에 한해서만 50% 할인 혜택을 주기로 했다. 국제용 인증 평가 시에는 현실화된 수수료가 부과된다 (수수료= 인건비+ 직접경비+ 제경비+ 기술료).

한국정보보호진흥원(KISA)은 24일 국내 보안업계 CC인증 평가 담당자들을 대상으로 개최한 CC인증 평가 설명회를 통해 8월부터 변경되는 평가 수수료 및 평가 절차 등에 대해 발표했다.

KISA는 "국제용과 국내용 평가의 경우 각각 KISA의 저렴한 수수료로 인한 정부예산 과잉, 국제통상 문제와 민간평가기관과의 불공정 경쟁을 일으킬 수 있다는 판단 하에, 8월부터 평가 계약되는 정보보호제품에 변동 수수료체계를 적용하기로 했다"며 "2009년 7월까지 본 수수료 체계를 적용하며 추후 관련 부처와 협의해 수수료를 조정해 나갈 예정"이라고 말했다.

변동 수수료 체계가 적용됨에 따라 수수료 납입 기간도 기존 평가 착수 시점에 100% 내야 했으나 이제 평가 계약 및 착수 시점과 평가 종료시점에 50%씩 납입하도록 변경됐다.

KISA는 국제용 평가 수수료는 1억원 수준으로 기존과 동일하며, 국내용 평가 수수료는 인증 레벨에 따라 중소기업 할인 혜택 적용 시 EAL4는 3000~4000만원, EAL2는 2000만원이 소요될 것으로 내다봤다.

KISA "철저한 사전 준비가 곧 비용 절감의 길"
이번에 KISA가 발표한 평가 절차 변경 사항으로는 제출물 검토 강화, 평가 계약과 착수 시점의 일치, 평가 중단 조건 강화 등이다.

평가 제출물이 불만족 할 경우에도 기존 계속 보완하는 형태로 인증평가를 진행해왔으나, 이제 사전 보안기능 시험 등을 통해 제출물 검토를 철저히 한 후 제대로 준비된 제품에 대해 인증 평가를 수행한다는 계획이다. KISA는 "과거 대면으로 제출물 보완 조치를 내렸으나 앞으로 메일 등 비대면 방식의 사전협의 수단을 통해 검토결과를 통보할 것"이라고 밝혔다.

또한 앞으로는 평가 계약 시점과 평가 착수 시점이 일치된다. 이는 대기 기간이 1년 넘게 지체되는 경우 그 사이 변경된 제도 적용이 어렵기 때문에 현실화된 인증 제도를 적용하기 위한 것. KISA는 접수증은 발급하고 계약 대기 제품을 홈페이지에 올리되, 평가 착수 시점에 평가 계약을 체결하여 평가 시점의 인증제도가 적절히 적용되도록 한다는 방침이다.

뿐만 아니라, 평가 중단 조건이 강화된다. 이는 국내용 평가 기간을 단축하기 위한 것으로, 평가기관이 관찰보고서(OR)를 냈을 때 보안 업체가 이를 보완하는 기간이 과거 15일이었으나 앞으로 국내용 인증 시 5일, 국제용 인증 시 10일로 짧아진다. 또 동일한 보완 요청사항이 3회 이상 발생하면 평가를 중단하게 된다.

KISA는 "평가 기간이 늘면 보안 업체들의 인증 비용 부담도 늘게 된다. 평가 중단 조건 강화가 결국 업체들의 평가기간 단축 및 비용 효율화로 이어지게 될 것이며, 앞으로 전체 인증 평가 비용을 고려해 사전 준비를 철저히 하는 것이 현명하다"고 전했다.

이 밖에도 7월 평가 인증 지침이 정식 개정됨에 따라, 국내용 평가 제품에 한해 과거 최초 평가기관에서만 재평가 신청이 가능했으나 앞으로 모든 평가 기관에서 재평가 신청을 할 수 있다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지