재심사 절차
TQS 인증의 갱신, 변경, 복원을 위한 재심사 절차를 정의합니다. 본 장은 재심사 트리거, 재심사 범위, 유예 기간, 간소화 심사, 갱신 심사 결과를 포함합니다.
34.2.1. 재심사 트리거
재심사는 다음 사유가 발생한 경우에 수행됩니다. 각 트리거에 따라 재심사 범위와 소요 기간이 달라집니다.
| 사유 | 재심사 범위 | 소요 기간 |
|---|---|---|
| 메이저 버전 업데이트 | 전체 항목 | 1~2주 |
| TQS 규격 변경 | 변경된 항목만 | 3~5일 |
| 보안 사고 발생 | 보안 항목 전체 | 1주 |
| 인증 일시중지 후 복원 요청 | 미충족 항목 | 3~5일 |
34.2.1.1. 메이저 버전 업데이트
프로젝트의 메이저 버전이 업데이트되면(예: v1.x → v2.x) 기존 인증은 만료됩니다. 메이저 버전에서는 아키텍처 변경, 기술 스택 교체, 대규모 코드 재작성이 발생할 수 있으므로, 전체 체크리스트 항목에 대한 재검증이 필요합니다.
메이저 버전 갱신 심사의 특징은 다음과 같습니다.
- 최초 심사와 동일한 범위로 전체 항목을 검증합니다.
- 이전 버전의 심사 결과는 참고 자료로만 활용되며, 항목 면제는 적용되지 않습니다.
- 인증 등급은 재심사 결과에 따라 새롭게 결정됩니다.
- 갱신 심사는 메이저 버전 출시 전에 미리 신청하는 것을 권장합니다.
34.2.1.2. TQS 규격 변경
TQS 규격이 개정되어 새로운 필수 항목이 추가되거나 기존 항목의 기준이 변경된 경우, 해당 항목에 대한 재심사가 필요합니다. 규격 변경에 따른 재심사는 변경된 항목만을 대상으로 하므로, 전체 심사보다 범위가 축소됩니다.
TQS 위원회는 규격 변경 시 다음 정보를 공지합니다.
- 변경된 항목 목록 및 변경 내용
- 유예 기간 (기본 3개월)
- 재심사 신청 방법 및 기한
34.2.1.3. 보안 사고 발생
프로젝트에서 보안 사고가 발생한 경우, 보안 관련 전체 항목에 대한 재심사가 수행됩니다. 보안 재심사는 사고의 원인 분석, 대응 조치의 적절성, 재발 방지 대책의 실효성을 중점적으로 검증합니다.
보안 재심사에서 검증하는 항목은 다음과 같습니다.
- Spring Security 설정 및 접근 제어
- 시크릿 관리 (환경 변수, 시크릿 매니저)
- 의존성 보안 (OWASP Dependency-Check 결과)
- 데이터 암호화 (At-Rest, In-Transit)
- 입력값 검증 로직
- 사고 대응 조치 및 재발 방지 대책
34.2.1.4. 인증 일시중지 후 복원 요청
인증이 일시중지된 프로젝트가 복원을 요청하는 경우, 일시중지 사유에 해당하는 미충족 항목에 대해서만 재심사를 수행합니다. 복원 재심사는 미충족 항목의 보완 여부를 확인하는 데 초점을 맞춥니다.
34.2.2. 재심사 범위
각 트리거별 구체적인 심사 범위는 다음과 같습니다.
34.2.2.1. 전체 항목 재심사
메이저 버전 업데이트 시 적용됩니다. 최초 심사와 동일한 범위로 전체 체크리스트를 검증합니다.
| 영역 | 검증 항목 |
|---|---|
| 코드 컨벤션 | 포매터, 네이밍, 패키지 구조 |
| 프레임워크 | Spring Boot, Vue 3, Composition API |
| 테스트 | 커버리지 (라인 80%, 브랜치 70%), 테스트 품질 |
| CI/CD | 파이프라인 구성, 자동화 검증 |
| 보안 | 접근 제어, 시크릿 관리, 의존성 보안 |
| 데이터 | jOOQ, Flyway, HikariCP 설정 |
| 프론트엔드 품질 | Lighthouse 점수, 접근성, 번들 크기 |
| API | RESTful 규칙, 에러 응답 형식 |
34.2.2.2. 부분 항목 재심사
TQS 규격 변경 또는 인증 복원 시 적용됩니다. 변경되거나 미충족된 항목만을 대상으로 검증합니다.
- 심사 대상 항목은 TQS 위원회가 사전에 통보합니다.
- 심사 대상이 아닌 항목은 이전 심사 결과를 그대로 인정합니다.
- 부분 재심사에서도 자동 검증 도구의 전체 실행 결과를 제출해야 합니다.
34.2.2.3. 보안 항목 재심사
보안 사고 발생 시 적용됩니다. 보안 관련 전체 항목을 대상으로 하며, 사고 대응 조치의 적절성을 추가로 검증합니다.
- 보안 설정 전반을 재검증합니다.
- 사고 보고서(원인, 영향 범위, 대응 조치, 재발 방지 대책)를 제출해야 합니다.
- OWASP Dependency-Check를 재실행하여 최신 보안 스캔 결과를 제출해야 합니다.
34.2.3. 유예 기간
TQS 규격이 변경된 경우, 기존 인증 프로젝트에 유예 기간을 부여합니다. 유예 기간 동안 기존 인증은 유효하게 유지됩니다.
34.2.3.1. 기본 유예 기간
기본 유예 기간은 3개월입니다. 유예 기간은 규격 변경 공지일로부터 기산합니다.
| 규격 변경 유형 | 유예 기간 | 비고 |
|---|---|---|
| 기존 항목 기준 강화 | 3개월 | 기본 유예 |
| 새로운 필수 항목 추가 | 3개월 | 기본 유예 |
| 기술 스택 변경 요구 | 6개월 | 연장 유예 |
| 항목 삭제 또는 완화 | 즉시 적용 | 유예 불필요 |
34.2.3.2. 유예 기간 연장 조건
다음 조건을 충족하는 경우, TQS 위원회에 유예 기간 연장을 신청할 수 있습니다.
- 규격 변경 항목의 적용에 대규모 코드 재작성이 필요한 경우
- 프로젝트의 릴리스 일정과 유예 기간이 충돌하는 경우
- 외부 의존성(서드파티 라이브러리, 플랫폼 업데이트 등)의 대응이 필요한 경우
연장 기간은 TQS 위원회가 사안별로 결정하며, 최대 3개월까지 연장할 수 있습니다. 연장은 1회에 한하여 신청할 수 있습니다.
34.2.3.3. 유예 기간 만료
유예 기간 내에 변경된 규격 항목을 적용하지 않은 경우, 다음 절차가 수행됩니다.
- TQS 위원회가 프로젝트 팀에 유예 기간 만료를 통보합니다.
- 통보일로부터 14일의 추가 대응 기간을 부여합니다.
- 추가 대응 기간 내에도 미적용 시 인증이 일시중지됩니다.
34.2.4. 간소화 심사
이전 심사에서 높은 수준의 규격 충족을 입증한 프로젝트는 간소화 심사를 적용받을 수 있습니다. 간소화 심사는 변경 사항만을 대상으로 하며, 전체 심사보다 소요 기간이 단축됩니다.
34.2.4.1. 간소화 심사 자격 조건
간소화 심사를 적용받으려면 다음 조건을 모두 충족해야 합니다.
| 조건 | 기준 |
|---|---|
| 이전 인증 등급 | 우수 이상 |
| CI 빌드 성공률 | 최근 6개월 평균 95% 이상 |
| 정기 보고서 제출 | 해당 기간 내 분기 보고서 전량 제출 |
| 보안 사고 이력 | 없음 |
| 인증 일시중지 이력 | 없음 |
34.2.4.2. 간소화 심사 절차
간소화 심사는 다음과 같이 진행됩니다.
- 프로젝트 팀이 변경 사항 명세서를 제출합니다.
- TQS 위원회가 변경 사항의 범위를 확인합니다.
- 자동 검증 도구의 전체 실행 결과를 제출합니다.
- 변경된 영역에 대해서만 수동 리뷰를 수행합니다.
- 변경되지 않은 영역은 이전 심사 결과와 정기 보고서를 기반으로 검증을 갈음합니다.
34.2.4.3. 간소화 심사 소요 기간
간소화 심사의 소요 기간은 변경 범위에 따라 달라집니다.
| 변경 범위 | 소요 기간 |
|---|---|
| 경미한 변경 (설정, 의존성 업데이트) | 1~2일 |
| 중간 변경 (기능 추가, 모듈 변경) | 3~5일 |
| 대규모 변경 (아키텍처 변경) | 간소화 심사 부적합 → 전체 심사 전환 |
변경 범위가 전체 시스템에 영향을 미치는 수준인 경우, TQS 위원회는 간소화 심사 대신 전체 심사로 전환할 것을 요청할 수 있습니다.
34.2.5. 갱신 심사 결과
갱신 심사(재심사)의 결과는 다음 3가지로 구분됩니다.
| 판정 | 설명 | 후속 조치 |
|---|---|---|
| 통과 | 모든 심사 항목 충족 | 인증 갱신, 유효기간 연장 |
| 조건부 통과 | 경미한 보완 필요 | 2주 내 보완 후 재확인 |
| 불합격 | 필수 항목 미충족 | 인증 취소, 재인증 필요 |
34.2.5.1. 통과
모든 심사 항목을 충족한 경우, 인증이 갱신됩니다. 갱신된 인증의 유효기간은 갱신 심사 통과일로부터 새롭게 기산됩니다. 인증 등급은 재심사 결과에 따라 상향, 유지, 또는 하향될 수 있습니다.
34.2.5.2. 조건부 통과
필수 항목은 충족하였으나 경미한 보완이 필요한 경우에 부여됩니다. 프로젝트 팀은 2주 이내에 보완 사항을 해결하고 재확인을 요청해야 합니다. 재확인은 미충족 항목에 대해서만 수행합니다. 2주 이내에 재확인을 완료하지 못하면 불합격으로 전환됩니다.
34.2.5.3. 불합격
필수 항목을 충족하지 못한 경우에 부여됩니다. 불합격 시 기존 인증은 취소되며, TQS 마크 사용을 즉시 중단해야 합니다. 인증을 다시 획득하려면 최초 심사 절차(31장)를 처음부터 진행해야 합니다. 갱신 심사 불합격은 해당 프로젝트의 인증 이력에 기록됩니다.