(서울=뉴스1) 김민재 기자 = 정부가 공공 클라우드 시장의 고질적 병폐로 지목됐던 '이중 보안 규제'를 없애기로 했다. 2027년 하반기부터 보안 검증 주체를 국가정보원으로 일원화해 민간 기업의 공공 시장 진입 문턱을 낮추고 인증 제도를 효율화한다는 방침이다.
과학기술정보통신부와 국정원은 17일 서울 용산구에서 간담회를 열고 이런 내용의 클라우드 정책 개편 방향을 공개했다. 핵심은 공공 클라우드 보안 검증 절차를 국정원 단일 체계로 통합하는 것이다.
현재 민간 클라우드 업체(CSP)가 공공 시장에 진출하려면 과기정통부 '클라우드서비스 보안인증'(CSAP)과 국정원의 '보안성 검증'을 각각 받아야 한다. 업계는 이 제도가 이중 규제라며 개선을 요구했다.
이에 보안 당국은 공공 클라우드 보안 검증 절차를 국정원 보안성 검증으로 일원화하기로 했다. 즉, 앞으로는 국정원의 검증만 통과하면 공공 영역에 클라우드 서비스를 제공할 수 있다.
국정원은 제도 운용의 투명성을 높이기 위해 '민관 검증심의위원회'를 설치하고 세부 검증 항목을 대외 공개한다. 정보기관의 보수적인 기준 탓에 시장이 위축될 수 있다는 우려를 불식하기 위한 조치다.
국정원 측은 "기준과 절차는 국정원이 운영하되, 구체적인 심사와 평가 결과는 민간 전문가가 참여하는 위원회에서 자율적으로 판단할 것"이라고 설명했다.
정부는 이러한 내용을 담아 올해 상반기 중 '국가 클라우드컴퓨팅 보안 가이드라인'을 개정한다. 이후 1년의 유예 기간을 거쳐 2027년 7월부터 제도를 본격 시행한다.
유예 기간에는 현행 제도를 운용한다. 2027년 상반기까지 받은 CSAP 인증은 획득 시점으로부터 5년간 유효하며, 유예 기간에도 CSAP 인증을 신규 취득할 수 있다.
이번 개편은 과기정통부의 CSAP와 국정원의 국가망 보안체계(N2SF) 등급을 연계하는 작업도 포함한다. 상이한 보안 등급 체계를 하나로 묶어 정책 정합성을 확보하고 현장 혼선을 줄이겠다는 취지다.
N2SF는 국가 전산망 데이터를 기밀(C)·민감(S)·공개(O) 등급으로 분류한다. 내부망과 외부망을 무조건 나누던 획일적 망 분리에서 벗어나, 데이터 중요도에 따라 보안 통제를 차등 적용하는 것이 골자다.
기존 CSAP도 데이터 중요도에 따라 시스템에 상·중·하 등급을 부여했다. 제도 개편 이후에는 CSAP의 등급 체계가 N2SF의 등급 체계를 따른다.
해외 클라우드 사업자의 인증 등급 규제 완화 여부는 아직 결정되지 않았다.
현행 CSAP상 '하' 등급 사업자는 공개 데이터만을 취급할 수 있다. '중' 등급은 비공개 업무자료를 다룰 수 있고, '상' 등급은 안보·국방·외교 등 민감정보를 취급할 수 있다. 국내에 진출한 미국 클라우드 업체 세 곳은 모두 '하' 등급만 획득한 상태다.
미국 정부는 자국 기업을 대상으로 한 CSAP의 등급 규제를 완화해 달라고 요구하고 있다. 구글 클라우드·아마존웹서비스(AWS)·마이크로소프트(MS) 등이 획득한 '하' 등급으로는 공공 시장 내 주요 데이터에 접근하기 힘들기 때문이다.
일각에서는 국정원이 공공 클라우드 보안 인증을 주관하면 국내 데이터센터를 둬야만 CSAP 중·상 등급에 준하는 사업을 따낼 수 있도록 할 것이라는 관측도 나온다.
이에 관해 국정원 관계자는 "관련 내용은 아직 정해지지 않았다"며 "정부 내에서 논의하고 있고, 한국과 미국 정부 간 논의 결과에 따라 달라질 것"이라고 말했다.
기존 CSAP 제도는 현행 ISMS(정보보호관리체계) 인증 제도에 통합한다. ISMS는 기업의 정보자산 보호 역량을 한국인터넷진흥원(KISA)이 인증하는 제도다. 해당 인증은 일부 의무 대상자를 제외하고는 자율적으로 취득한다.
당국은 기업의 정보자산 보호 역량과 개인정보 보호 역량을 평가하는 ISMS-P(개인정보 및 개인정보 보호 관리체계) 제도를 2018년 신설했다. 기존 ISMS 제도 평가 항목인 '정보자산 보호 역량'에 '개인정보 보호 역량'이라는 항목을 더한 셈이다.
과기정통부 관계자는 "(정보자산 보호 역량과 개인정보 보호 능력을 모두 요구하는) ISMS-P를 만들었듯, ISMS 제도에 일종의 모듈을 추가해서 클라우드 특화 보안 인증을 도입할 것"이라고 설명했다.
제도 개편 이후에는 현행 ISMS 인증의 '정보자산 보호역량' 평가기준에 CSAP의 '클라우드 보안역량' 평가기준을 더해 인증을 부과한다는 설명이다.
국정원 관계자는 "과기정통부의 CSAP와 기존 ISMS 인증은 겹치는 내용이 있다"며 "중복 인증 문제를 해소하고 인증 비용 자체가 경감될 것으로 기대한다"고 말했다.
minjae@news1.kr
