공공 클라우드 보안 인증이 국가정보원(국정원) 중심 단일 체계로 일원화된다. 그동안 과학기술정보통신부와 국정원이 각각 수행해 온 이중 검증 구조가 단일화되면서, 공공 시장 진입을 노리는 클라우드 기업의 인증 비용·기간 등 행정적 부담도 대폭 줄어들 전망이다.
20일 정부는 현행 과기정통부 CSAP와 국정원 보안 검증 체계를 통합한 새로운 클라우드 보안 인증 제도를 내년 7월부터 시행할 계획이라고 밝혔다.
CSAP는 국가·공공기관 등의 업무를 위해 클라우드서비스를 제공하려는 사업자가 받아야 하는 인증이다. 기존에는 CSAP 평가를 받아도 국정원의 클라우드 보안 검증을 한 차례 더 거쳐야 해 '이중 규제'라는 지적이 이어졌다.
이번 제도 개편은 이 같은 중복 규제를 개선하고, 단일화된 인증 제도를 통해 공공 정보시스템의 민간 클라우드 이전을 확산하기 위해 마련됐다. <본지 2025년 12월 15일자 2면 참조>
정부는 공공 클라우드 보안 인증 주체를 국정원으로 일원화함과 동시에 평가 항목 역시 경량화한다.
새로운 체계는 클라우드 서비스가 공공분야에 사용이 적정한지 보안 기술 수준을 평가하는 데 집중한다. 이는 CSAP가 조직 구성, 인력 보안 등까지 평가했던 점과 차별된다. 국정원은 기존 CSAP 항목 중 필수적인 부분만 흡수해 평가 항목 초안을 마련할 계획이다. 인증 기간 단축과 인증 비용 절감 등 기업 부담 경감이 기대된다.
국정원은 산업계 의견을 수렴해 평가 항목을 구체화한 뒤 내년 상반기 검증제도 운영지침·검증 해설서 등을 외부에 공개할 예정이다. 또 투명한 검증 제도 운영을 위해 산학연이 참여하는 민관 검증심의위원회를 운영하고, 기존 CSAP 평가기관 한국정보통신진흥협회(KAIT) 등을 그대로 활용해 전문성을 이어갈 방침이다.
공공 클라우드 도입 사업에 문제가 생기지 않도록 신규 제도가 시행되기 전 CSAP 인증을 받았을 경우 제도 시행 이후라도 유효기간 5년을 그대로 인정한다. 기업은 이 기간 신규 제도 대신 CSAP를 그대로 활용할 수 있다.
국정원의 신규 제도를 도입으로 CSAP는 민간 자율 인증제도로만 남는다. 향후 CSAP는 정보보호 관리체계(ISMS)의 별도 모듈 형태로 전환해 운영된다. 과기정통부는 이와 관련한 통합방안을 내년 상반기까지 마련해 하반기 시행할 계획이다.
국정원 관계자는 “인증 체계를 일원화하고 검증 항목 최적화를 통해 클라우드 보안을 견고하게 하면서도 사업자 부담을 경감하는 방향으로 제도 개편을 추진했다”며 “해외 사업자에게는 기존에도 차별없는 기준을 적용해왔기에 신규 제도가 시행되더라도 이전과 큰 차이점이 없고, 산업 활성화가 개편의 주된 목적인 만큼 이 부분을 중점 살펴봐 달라”고 말했다.
박진형 기자 jin@etnews.com, 최호 기자 snoop@etnews.com
