클라우드 보안인증 등급제 도입
CC인증 신제품 패스트트랙 신설
위성영상 해상도 제한 완화 논의
이달 확정…이르면 내달 초 발표
정부가 클라우드 보안인증제(CSAP)와 공통평가기준(CC)인증 등 산업 파급효과가 지대한 보안 규제를 완화한다.
CSAP와 CC인증에 클라우드 산업 활성화, 신생기업과 신기술의 공공 시장 진출을 저해는 규제 요인이 있다는 지적에 따른 조치다. 규제 완화 구호를 내건 윤석열 정부가 보안 제도 손질에 나서면서 관련 기업 기대감도 커지고 있다.
◇CSAP 등급제 도입 검토
과학기술정보통신부와 국가정보원은 보안 규제 개선을 위해 클라우드, 정보보호 산업계 의견 수렴에 착수했다. 국무총리실 주관 규제개혁 관련 회의 후속조치다.
국정원은 기업을 대상으로 CSAP 인증 완화 의견을 수렴하고 있다.
CSAP는 클라우드 시스템·데이터의 물리적 위치(국내), 일반 이용자와 영역분리, 검증필 국가표준암호화 기술 제공 등 기준이 엄격하다. 글로벌 클라우드 서비스 제공사(CSP)와 이를 이용하는 중소 서비스형 소프트웨어(SaaS) 기업의 완화 요구가 지속됐다.
국정원은 단일 인증인 CSAP를 중요도별 복수 인증으로 다양화하는 방안을 고심 중이다. 미국 클라우드 보안인증인 페드램프(FedRAMP) 처럼 잠재적 영향 수준에 따라 낮음, 보통, 높음 등으로 구분하는 방식이 거론된다.
국정원은 의견 수렴 과정에서 CSAP 완화 배경에 대해서는 명확한 설명을 내놓지 않았다. 국내외 기업 요구, 미국과의 통상 이슈, 공공기관 내부 업무의 클라우드 이전 대응 등 여러 추측이 나온다.
CSAP 인증을 받은 기업이 불만을 가질 수도 있는 만큼 제도 운영기관인 과기정통부, 공공 클라우드 정책을 담당하는 행정안전부와 논의가 이어질 전망이다.
◇신기술 CC인증 문턱 낮아진다
CC인증은 신기술·신제품에 대한 별도 평가 절차인 '패스트트랙'을 신설한다.
현재 CC인증은 인증 대상 제품 23종 유형별로 국가정보원 국가용보안요구사항에서 규정한 방식을 충족해야 한다. 23종 유형과 세부 기준에 포함되지 않는 신기술·신제품은 CC인증을 받기 어렵다. CC인증의 경직성이 신기술·신제품의 시장 진입을 가로막는 요인으로 지목되는 배경이다.
과기정통부와 국정원은 보안 신기술도 CC인증을 받을 수 있도록 제도에 유연성을 부여하기로 했다. 별도 절차를 만들어 신기술의 보안성을 평가할 계획이다. CC인증 유지, 갱신 등 제도 전반에 걸쳐 개선점도 찾는다.
CC인증이 완화되면 보안 스타트업, 신기술의 시장진입 문턱과 대응 부담이 한층 낮아진다.
한 보안업체 대표는 “CC인증을 받기 위해 투입하는 비용, 시간, 인력이 소규모 신생기업엔 큰 부담이 된다”며 “신기술의 경우, 아예 인증을 받지 못하거나 정규 트랙 대비 몇 배의 노력이 투입돼야 하는데 패스트트랙이 실행되면 부담을 크게 덜 수 있다”고 말했다.
◇위성 영상 활용 문턱 낮춘다
과기정통부와 국정원은 위성 영상 사용 제한 규제 완화도 논의 중이다. 우리나라는 공공 위성이 수집한 위성 영상의 공개, 사용을 제한하고 있다. 일반인 출입 통제 보안·군사시설이 노출된 해상도 4m 이하 영상 등 다수 자료의 공공 개방이 막혀있다. 2007년 공간해상도 규정을 6m에서 4m로 완화한 뒤 변화가 없다.
미국 등 주요국이 시장에 제공하는 위성 영상 규제를 지속 완화하는 것과 반대 양상이다. 국정원은 위성 영상 활용 생태계 활성화를 위해 공간해상도 규정 완화 등 다수 규제 개선 방안을 검토 중이다.
정부는 현재 논의 중인 보안 규제 개선 방안을 이르면 이달 말까지 확정, 다음 달 초께 발표할 계획이다.
최호기자 snoop@etnews.com, 안호천기자 hcan@etnews.com
