상반기 클라우드컴퓨팅 보안가이드 개정
1년 유예 후 2027년 시행 예정
민간 클라우드 범용 영역은 ISMS로 통합
[파이낸셜뉴스] 앞으로 기업들의 공공 클라우드 시장 진입할 때 과학기술정보통신부와 국가정보원을 거쳐야 했던 이중 검증 절차가 국정원 단일 검증체계로 통합된다. 단 한 번의 검증 패스 만으로 공공 부문 공급이 가능할 뿐 아니라 인증 비용을 낮춤으로써 기업들의 부담을 덜어주겠다는 취지다.
20일 과기정통부와 국가정보원은 이 같은 내용이 담긴 '클라우드 보안인증 제도 개편 방향'을 공동 발표했다.
그간 클라우드 서비스 기업이 공공 시장에 진입하려면 과기정통부의 클라우드보안인증(CSAP)을 먼저 취득한 후 국정원의 보안검증도 거쳐야 했다. 이후 국정원 홈페이지에 국가·공공기관민간 클라우드 도입 가능 목록을 게시하면, 각 정부 기관이 조달 시스템을 통해 해당 클라우드 서비스 사업자와 계약을 맺는 구조다.
정부는 이 같은 내용을 담아 올 상반기 중 '국가 클라우드컴퓨팅 보안가이드라인' 등을 개정한다. 신규 제도인 점을 고려해 1년 간 유예기간을 거친 후 2027년 하반기부터 시행할 예정이다. 새로운 제도가 도입되기 전까지는 현행 제도를 유지한다.
단일 검증체계가 시행되기 전 CSAP 인증을 받은 제품의 유효기간은 그대로 인정한다. CSAP는 클라우드 서비스의 보안성과 안정성을 종합적으로 평가해 공공기관 적용 가능 여부를 검증하는 제도다. 서비스 제공 방식에 따라 △서비스형 인프라(IaaS) △서비스형 데스크톱(DaaS) △서비스형 소프트웨어(SaaS)로 구분된다. 국정원 관계자는 "2027년도 하반기부터 새 제도가 시행되더라도 CSAP 인증 기간은 5년 간의 유효 기간까지는 공공의 보안성을 충족한 걸로 인정을 할 계획"이라고 전했다.
클라우드 기술 특성에 맞게 보안 기준 항목들도 최적화로 정비한다. 공공 클라우드의 보안 수준은 강화하되, 불필요한 행정 절차는 최대한 축소해 기업들의 부담을 경감하겠다는 것이다.
신규 검증제도의 원활한 시행을 위해 과기정통부 추천인사 등 관계기관 및 산학연 전문가로 구성된 '민관 검증심의위원회'를 가동해 검증 결과의 공정성·타당성 여부를 평가한다. 기존 CSAP 평가기관 3곳도 유지해 행정의 연속성을 확보할 방침이다.
과기정통부는 CSAP 인증은 '정보보호 관리체계(ISMS)' 인증으로 통합하는 방안을 연내 마련해 내년 중 시행할 방침이다. 이에 따라 공공 클라우드 시장에 진출하기 위해 반드시 취득해야 했던 CSAP 인증이 기업의 선택에 맡기는 자율 인증 형태로 바뀌게 된다. 과기정통부 관계자는 "앞으로 클라우드가 더 많이 확산되고, 안전하게 이용될 수 있도록 클라우드 서비스 분야를 포함해 자율 보안 인증 모듈로 ISMS를 발전시키려는 것"이라고 말했다.
mkchang@fnnews.com 장민권 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지