CSMS 인증서를 받는 순간을 프로젝트의 종착점으로 그리는 경우가 많습니다. 그런데 실제 국토교통부 CSMS 인증제도 가이드라인을 보면, 인증은 신규인증심사 → 사후관리심사 → 갱신인증심사로 이어지는 3년 주기의 반복 구조입니다. 그리고 이 주기는 매번 실질적인 비용과 심사 부담을 동반합니다.
인증은 발급이 아니라 주기다
CSMS 인증심사 주기 (유효기간 3년)
1
신규인증심사 — CSMS 구축 후 최초로 받는 심사. 사전검토 → 서류심사 → 현장심사 → 최종심사 순으로 진행되고, 인증서 유효기간은 3년.
2
사후관리심사 (매년 1회) — 인증받은 CSMS가 실제 운영에서 제대로 유지·관리되고 있는지 확인. 인증기관이 요청하는 자료를 제작사가 제출하고, 필요시 현장 점검까지 진행.
3
갱신인증심사 (3년마다) — 유효기간 만료 5개월 전까지 신청해야 하며, 신규인증심사와 동일한 절차·수준으로 진행.
즉 3년의 인증 유효기간 안에서도 "1년차 사후관리심사 → 2년차 사후관리심사 → 3년차 갱신인증심사"가 순서대로 기다리고 있는 구조입니다. 인증서를 한 번 받았다고 다음 3년이 조용히 지나가지 않습니다.
갱신인증심사, "간소화"는 없다
❌ "신규인증 후 갱신인증심사 때는 일부 항목이 간소화되지 않을까"
✅ 가이드라인은 이 질문에 명확히 "아닙니다"라고 답한다
가이드라인 FAQ는 이 질문을 정확히 다룹니다 — "3년마다 진행되는 갱신인증심사는 신규인증심사와 동일한 절차와 수준으로 진행됩니다." 즉 처음 인증받을 때 준비했던 만큼의 서류심사·현장심사 부담이 3년마다 그대로 반복된다는 뜻입니다. 갱신을 "다시 하는 확인 작업" 정도로 가볍게 보고 준비 시점을 늦추면, 유효기간 만료 5개월 전 신청 기한을 맞추기 어려워질 수 있습니다.
변경인증심사 vs 변경신고 — 40%가 기준선이다
인증받은 이후 CSMS 내용에 변화가 생기면 크게 두 갈래로 나뉩니다.
구분
대상
절차
변경인증심사
인증받은 사항의 실질적 변경
심사 필요. 인증 유효기간은 기존 인증의 남은 기간과 동일하게 유지
변경신고
경미한 사항(상호명, CSMS 관련 조직, 최초 제작자의 상호 등)
변경인증심사 없이 변경신고서만 제출
⚠️ 변경사항이 기존 인증받은 사항의 40%를 초과하면, 변경인증심사가 아니라 신규인증심사로 전환됩니다. CSMS를 대대적으로 개편하는 프로젝트를 진행할 때는 이 40% 기준선을 미리 가늠해봐야, 예상보다 훨씬 무거운 심사 절차와 비용을 갑자기 마주치지 않습니다.
비용은 매번 발생한다
인증 수수료는 정액 수수료와 직접경비(출장비 등)로 구성됩니다. 정액 수수료 기준으로 보면 다음과 같습니다.
구분
기본 요금
감면 요금
신규인증 / 갱신인증
123,143,000원
86,200,000원
변경인증 (현장심사 포함)
70,044,000원
49,030,000원
변경인증 (현장심사 미포함)
39,541,000원
27,678,000원
(부가세 별도, 현장심사 출장이 수반되는 경우 직접경비 별도 정산.) 갱신인증심사도 신규인증심사와 동일한 수수료 구간에 들어간다는 점을 생각하면, 3년마다 최소 8,600만 원 이상이 반복적으로 지출되는 고정비라는 뜻입니다. 여기에 CSMS를 크게 개편해 변경인증이 필요해지는 시점이 겹치면, 그해 예산에는 별도의 변경인증 비용까지 더해집니다.
안 지키면 어떻게 될까
가이드라인에는 위반 사유별 처분기준이 단계적으로 명시돼 있습니다.
위반 사유
1차
2차
3차 이상
거짓·부정한 방법으로 인증받은 경우
인증 취소
효력정지 기간 중 인증 적용 자동차 판매
인증 취소
변경인증 없이 인증받은 사항을 변경
효력정지 1개월
효력정지 3개월
인증 취소
변경신고를 하지 않은 경우
경고
효력정지 10일
효력정지 1개월
인증기준에 부적합하게 된 경우
효력정지 2개월
효력정지 4개월
인증 취소
정당한 사유 없이 자료 제출 거부
효력정지 2개월
효력정지 4개월
인증 취소
인증이 없거나 취소·효력정지된 상태에서 해당 자동차를 판매하면 제작·조립·수입·판매가 중지될 수 있고, 이 상태에서 실제로 판매까지 이어지면 1년 이하의 징역 또는 1천만 원 이하의 벌금이 부과될 수 있습니다. "조직 개편 정도는 나중에 얘기해도 된다"는 감각으로 변경신고를 미루는 게 왜 위험한지가 이 표에 그대로 드러납니다 — 변경신고 누락만으로도 반복되면 결국 효력정지로 이어집니다.
인증기준은 "점수제"가 아니다
❌ "인증기준 12개 중 어느 정도(예: 80점) 이상 만족하면 통과되는 방식이다"
✅ 12개 인증기준을 전부 만족해야 인증서가 발급된다
가이드라인 FAQ는 이 오해를 직접 다룹니다 — "일정 점수를 넘으면 인증서가 발급되는 방식이 아니라 인증기준 12개를 모두 만족해야 인증서가 발급됩니다." 다만 일부 부족한 항목에 대해 적절한 시정조치계획을 제출하면 인정될 수 있는 여지는 있습니다. 심사 결과는 적합·조건부적합·경(輕)부적합·중(重)부적합·해당없음의 5단계로 나뉘는데, 조건부적합까지는 증적자료 보완으로 넘어갈 여지가 있지만 경·중 부적합은 추가 확인이나 재작성이 필요합니다.
현업에서 챙겨야 할 지점 4가지
사후관리심사 일정을 캘린더에 못박아두기 — 매년 1회 진행되는 활동이라 별도 프로젝트처럼 관리하지 않으면 다른 업무에 밀려 자료 준비가 임박해서야 시작되기 쉽습니다.
갱신인증 신청은 만료 5개월 전이 마감이 아니라 시작점 — 신규인증과 동일한 수준의 심사이므로, 서류·증적자료 준비 기간을 신규인증 때와 똑같이 잡아야 합니다.
변경 사항의 규모를 사전에 40% 기준으로 가늠해보기 — 조직 개편, TARA 방법론 변경, 대규모 프로세스 개편처럼 누적되는 변경이 있다면, 개별 변경인증으로 처리할지 신규인증 전환 시점을 계획할지 미리 판단해야 예산과 일정이 갑자기 흔들리지 않습니다.
경미한 변경은 변경신고로 반드시 챙기기 — 상호명·조직 변경처럼 절차가 가벼운 항목도 신고 자체를 누락하면 반복 시 효력정지로 이어질 수 있습니다. "심사까지는 필요 없다"가 "아무 조치도 필요 없다"를 의미하지 않습니다.
CSMS 인증은 한 번의 이벤트가 아니라 3년 주기로 반복되는 운영입니다.
사후관리심사는 매년, 갱신인증심사는 3년마다, 변경인증심사는 변화가 있을 때마다 — 그리고 그 모든 주기에는 실질적인 비용과 심사 부담이 뒤따릅니다.
핵심 요약
1
CSMS 인증은 신규-사후관리-갱신인증의 3년 주기 구조다 — 인증서 발급이 끝이 아니라 반복되는 운영의 시작이다.
2
사후관리심사는 매년 1회 진행된다 — 인증받은 CSMS가 실제로 유지·관리되고 있는지 확인하는 절차다.
3
갱신인증심사는 간소화되지 않는다 — 신규인증심사와 동일한 절차·수준으로, 만료 5개월 전까지 신청해야 한다.
4
변경의 규모가 40%를 넘으면 신규인증으로 전환된다 — 대규모 CSMS 개편 시 미리 가늠해야 할 기준선이다.
5
수수료는 3년마다 최소 8,600만 원 이상 반복 지출되는 고정비다 — 여기에 변경인증 비용이 겹칠 수 있다.
6
변경신고 누락도 반복되면 효력정지로 이어진다 — 경미한 변경이라도 신고 자체는 반드시 챙겨야 한다.
7
인증기준 12개는 점수제가 아니라 전부 만족이 원칙이다 — 부족한 항목은 시정조치계획으로 보완할 여지가 있을 뿐이다.
※ 이 글은 2026년 5월 발간된 국토교통부 「자동차 사이버보안 인증제도 가이드라인」을 바탕으로 작성했습니다. 관련 법령·고시는 수시로 개정될 수 있으니 실제 적용 시 최신 버전을 확인하시기 바랍니다.