클라우드 보안인증(CSAP) 상·중등급이 베일을 벗으며 본격적인 제도 시행을 알렸다. 지난해 1월 등급제가 도입된 지 1년 만이다.
상등급은 평가기준에 외부 네트워크 차단, 보안패치 자동화 등 신규 항목을 추가했다. 중등급은 기존 평가기준을 유지하되 일부 평가항목을 수정해 점검내용을 명확히했다.
과학기술정보통신부는 이 같은 내용을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 행정예고하고 26일까지 의견을 수렴한다.
앞서 과기정통부는 지난해 1월 상등급은 기존 평가기준 보완·강화, 중등급은 현행 수준 유지, 하등급은 합리적 완화 등을 골자로 한 클라우드 보안인증 등급제를 도입했다. 논리적 망분리를 허용한 하등급을 우선 시행했으며, 상·중등급은 국가정보원 등 관계부처와 함께 실·검증을 거쳐 보안인증 평가기준을 마련하기로 했다.
상등급은 안보·외교 등 국가 중대이익, 행정 내부업무 등을 운영하는 시스템의 업무 중요도와 규모를 고려해 평가 항목 4개를 신설했다. 구체적으로 △외부 네트워크 차단 △보안감사 로그 통합관리 △계정 및 접근권한 자동화 △보안패치 자동화 항목을 추가했다.
중등급은 추가항목은 없지만 점검 내용을 명확히 했다. 시스템 격리, 물리적 영역 분리 평가항목을 일부 수정했다.
과기정통부는 상·중등급 시행으로 인한 혼란을 줄이기 위한 방침도 내놨다. 기존에 서비스형 인프라(IaaS), 서비스형 소프트웨어(SaaS) 표준 및 간편 인증을 받은 사업자는 유효기간 내에서 중등급으로 인정할 예정이다.
사업자 부담 해소를 위한 제도개선책도 제시했다. 인증평가 시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐만 아니라 외부 전문기관이 점검하는 방식도 허용한다. 또 동일 서비스에 대해 2개 등급 이상의 평가를 받을 경우 중복 평가항목은 생략(40~50% 수준)하고 수수료 할인폭도 확대(50%)했다. 수수료 지원 비중은 최대 70%까지 높일 계획이다.
과기정통부 관계자는 “본격적인 민간 클라우드 활용에 앞서 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증해 이용기관 보안수준을 높이는 역할을 할 것”이라며 “제도가 안착할 수 있도록 지속 모니터링하고 제도 운영 과정에서 추가 개선이 필요한 부분은 보완하겠다”고 말했다.
조재학 기자 2jh@etnews.com
