‘공공 클라우드 시장 관문’ 과기부 CSAP 사라진다
공공은 국정원·민간 범용 영역은 ISMS으로 통합
상반기 ‘국가 클라우드컴퓨팅 보안가이드’ 개정
1년 유예기간 후 2027년 하반기부터 시행
클라우드보안인증제(CSAP) 및 정보보호 관리체계 인증(ISMS) 인증마크. 공식 누리집 갈무리
내년 하반기부터 공공 클라우드의 보안 관리가 국가정보원 소관 단일 검증 체계로 일원화된다. 그동안 클라우드 기업이 공공 부문에 서비스를 제공하려면 과기정통부의 클라우드 보안인증(CSAP)과 국정원의 보안 검증을 모두 거쳐야 했는데 두 체계를 통합해 ‘이중 규제’ 문제를 해결한다는 취지다. 민간 범용 영역은 기존 정보보호 관리체계(ISMS) 인증에 통합해 자율적인 관리에 맡긴다.
과기정통부와 국정원은 20일 이 같은 내용을 담은 ‘공공 클라우드 시장 진입절차 개선 방안’을 발표했다. 핵심은 공공 클라우드 인증을 받기 위한 보안 기준을 필수 보안 요건 중심으로 최소화하고 구체적인 검증 항목을 클라우드 기술 특성에 맞게 최적화하는 것이다. 이를 통해 보안 수준을 강화하는 동시에 기업의 절차적 부담을 경감할 것으로 기대된다.
국정원 관계자는 “기존 CSAP 인증의 세부 요건을 살펴보면 민간 트랙인 ‘공동 보안요건(관리적·물리적·기술적 보호조치)’과 공공 트랙인 ‘(국가기관용)공공 보안요건’이 결합돼 있는 형태였다”며 “이를 분리해 새로운 공공 클라우드 검증제도에서는 ‘공공 보안요건’ 충족 여부를 중심으로 볼 것”이라고 설명했다.
공공 클라우드의 보안 등급 체계 역시 기존 CSAP의 ‘상·중·하’ 대신 다층보안체계(MLS)에 따른 ‘C·S·O’ 등급과 정합성을 맞추도록 한다. 국정원 관계자는 “등급 체계가 변화하더라도 기존의 상·중·하 등급 체제에 준하도록 정책을 설계해 시장 혼란을 최소화할 것”이라고 설명했다.
신규 검증 제도에서는 민간 유사 보안인증과의 상호 인정도 확대한다. 국정원은 검증 과정에서 이미 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등 유사 보안인증을 받은 업체에 대해서는 중복 항목을 면제해 줄 방침이다.
민간 클라우드 범용 영역은 기업의 정보보호 관리체계인 ISMS에 통합해 자율적인 검증 체계를 조성한다. 과기부 관계자는 “굳이 공공 보안요건을 충족할 필요 없이 민간 분야에 적합한 국제표준(ISO/IEC 등)을 반영한 별도의 제도를 마련할 예정”이라고 말했다.
정부는 이 같은 내용을 담아 올 상반기 중 ‘국가 클라우드컴퓨팅 보안 가이드라인’ 등을 개정할 예정이며 신규 제도는 내년 7월께부터 시행하도록 한다. 그 전까지 1년간의 유예 기간 동안 CSAP 인증을 받은 제품의 경우 유효기간(5년)을 그대로 인정한다.
또한 신규 검증제도의 원활한 시행을 위해 과기정통부 추천인사 등 관계기관 및 산·학·연 전문가로 구성된 ‘민관 검증심의위원회’를 운영한다. 심의위는 검증결과의 공정성·타당성 여부를 평가하고, 기존 CSAP 평가기관의 전문성을 새 제도에 연계해 행정의 연속성도 확보할 방침이다.
이와 관련해 국정원 관계자는 “검증 주체가 과기정통부에서 국정원 중심으로 넘어가며 검증 제도가 까다로워질 것이라는 우려를 하지 않아도 된다”면서 “구체적인 인증 심사와 결과 평가는 모두 심의위의 역할”이라고 강조했다.
한편 제도 개편에 따른 해외 클라우드 기업의 공공 부문 진출 가능성은 향후 한미통상 결과에 따라 구체화될 것으로 전망된다. 이날 국정원 관계자는 ‘빅테크 진입 장벽 완화 여부’에 대해 “현재 통상 트랙에서 논의 중인 사안이라 현 단계에서 확답할 수 없다. 현재 보안 검증 기준으로도 국내와 해외 업체를 구별하거나 특정 국가를 배제하는 항목은 전혀 없다”며 말을 아꼈다.
류제명 과기정통부 2차관은 “국정원과 협력하여 부처 간 칸막이를 과감히 허물었으며, 이를 통해 우리 기업들이 보안의 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다”며 “특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여하여 산업 생태계의 안정적 성장을 돕겠다”고 밝혔다.