국정원 검증·CSAP 이원화 해소…상반기 제도 마련

CSAP는 ISMS 통합…민간 자율 인증으로 전환

[박은주 제작] 사진합성·일러스트

(서울=연합뉴스) 권하영 기자 = 국가·공공기관에 공급되는 클라우드 서비스의 보안성을 검증하는 제도인 '클라우드 보안 인증'(CSAP)이 대대적인 변화를 맞는다.

공공 영역의 클라우드 보안 인증은 국가정보원 단일 검증 체계로 흡수되고, CSAP 제도 자체는 민간 기업 대상의 자율 보안 인증으로 전환되는 것이 핵심이다.

정부는 이를 통해 기존 국정원 클라우드 보안 검증과 과학기술정보통신부 소관 CSAP로 분산돼 있던 이중 규제를 해소하겠다는 방침이다.

다만 업계는 공공 분야 민간 클라우드 도입이 위축되지 않도록 촘촘한 과도기 대책이 필요하다고 지적한다.

◇ 공공 클라우드 보안 '국정원 단일 검증 체계'로

과학기술정보통신부와 국가정보원은 공공 클라우드 검증 절차를 국정원 단일 검증 체계로 일원화하는 정책을 20일 공동 발표했다.

그동안 클라우드 서비스 제공사(CSP)가 공공기관에 클라우드 서비스를 제공하려면 과기정통부의 CSAP를 먼저 취득한 후 국정원의 '공공 클라우드 보안 기준'에 따른 보안 검증도 거쳐야 했는데, 이러한 이중 규제를 해소하겠다는 취지다.

이에 따라 국정원은 클라우드 기술 특성에 맞게 검증 항목을 개선해 공공 클라우드의 보안 수준을 강화하면서 기업 부담은 경감시키는 방향으로 신규 체계를 확립할 계획이다.

올해 상반기 내 '국가 사이버보안 기본 지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'을 개정·공표하고, 1년 유예 기간을 거쳐 내년 하반기부터 신규 검증 제도를 본격 시행한다.

내년 상반기까지 유예 기간 동안 운영 지침 및 해설서도 마련하기로 했다.

신규 검증 제도 아래에서는 '민관 검증심의위원회'가 가동된다.

위원회는 검증 결과의 공정성·타당성 여부를 평가하게 되며, 과기정통부 추천 인사를 포함한 관계기관 및 산·학·연 전문가로 구성돼 기존 CSAP 평가기관의 전문성을 새 제도에 연계할 방침이다.

신규 검증 제도 시행 전까지는 기존 CSAP 제도를 현행 유지한다. 이미 CSAP 인증을 취득한 제품의 유효 기간(5년)도 그대로 인정한다.

국정원 관계자는 "검증 절차가 통합되며 클라우드 사업자의 신속한 공공 진출이 가능해지고, 검증 항목이 클라우드에 최적화되면서 인증 부담이 덜할 것으로 기대된다"고 말했다.

◇ CSAP '의무' 사라지고 민간 자율 인증 전환

CSAP 제도는 민간 자율 인증으로 전환되는 방향으로 개편된다.

현행 클라우드컴퓨팅법 제20조 2항에서 '국가기관 등은 CSAP를 받은 클라우드 컴퓨팅 서비스를 우선적으로 고려해야 한다'는 사실상의 의무 요건이 삭제되고, 대신 기업 대상 '정보보호 관리체계'(ISMS) 인증의 한 분야로 통합된다.

CSAP 등급제도 전면 재검토된다. 원래는 과기정통부가 상·중·하 등급제로 개편해 하등급을 우선 시행하고 있었으며, 추후 상·중등급을 포함한 고시 개정을 준비하던 상황이었다.

과기정통부는 내년 상반기까지 ISMS로의 통합 방안을 마련하고, 내년 하반기 국정원 신규 검증 제도 시행을 기점으로 ISMS 통합 운영을 개시할 예정이다.

◇ 클라우드 업계 기대·우려 교차…"대응책 필요"

이번 개편으로 직접적 영향을 받게 될 클라우드 업계는 인증 제도 단일화 자체에 대해서는 긍정적으로 평가하고 있다. 장기적으로 이중 규제 부담과 정책 불확실성에 따른 시장 혼선이 줄어들 것이란 기대다.

그러나 보안 검증 주체가 물리적 망분리 등 폐쇄적 보안을 최우선으로 해온 국정원으로 넘어가게 되면서 우려도 적지 않다.

우선 국정원이 이르면 올해 5월 시행을 예고한 '국가 망보안 체계'(N2SF)와의 정합성 여부가 관건으로 지목된다.

기존 CSAP 제도에서는 시스템 중요도에 따라 상·중등급은 정부망과 인터넷망을 철저히 분리하는 '물리적 망분리'를 요구하되, 하등급은 소프트웨어적으로 가상의 망분리 효과를 내는 '논리적 망분리'를 허용했다.

국정원 N2SF는 시스템 중요도를 기밀(C)·민감(S)·공개(O) 등급으로 구분하고 있는데, 논리적 망분리를 어디까지 허용할 것인지 아직 명확해지지 않았다.

논리적 망분리 여부는 국내에 핵심 서버를 두기 어려운 글로벌 CSP의 국내 공공 시장 진입 문제와도 직결된다.

이에 대해 국정원 관계자는 "N2SF와 CSAP 등급이 달라 혼선이 있던 부분은 제도 마련 과정에서 정책의 정합성을 맞춰갈 계획"이라며 "'국가 사이버보안 기본 지침'상 망분리 조항을 삭제하고 차등적 보안 장치가 반영될 것"이라고 설명했다.

업계에서는 정부가 유예 기간을 두더라도 신규 제도 개편을 앞두고 공공기관의 민간 클라우드 도입 움직임이 위축되지 않을지 걱정도 나온다.

한 CSP 관계자는 "정부가 CSAP 인증 유효 기간을 인정해준다 해도, 막상 공공기관들은 번거로움을 줄이기 위해 곧 종료될 제도상의 제품보다는 새 제도 시행 후 클라우드 도입을 판단하는 방향으로 갈 수도 있다"며 "이 과도기에 발생할 수 있는 시장 정체에 대해 대비책이 필요하다"고 제언했다.

kwonhy@yna.co.kr

Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.