N2SF 전환에 따른, 현장의 중소 SaaS 공급기업이 묻는 세 가지
공공 클라우드 보안 정책이 10년 만에 큰 전환점을 맞이하고 있다. 2026년 4월, 정부는 과기정통부(KISA 위탁)의 CSAP와 국정원 보안검증으로 이원화돼 있던 인증 체계를 국정원 단일 검증체계로 통합하기로 결정했다. 기존의 물리적 망분리를 대체하는 국가 망 보안체계(N2SF)의 법적 근거인 국가 사이버보안 기본 지침은 이미 2026년 5월 시행에 들어갔다. SaaS 공급기업과 직접 관련된 클라우드 인증 제도, 즉 통합된 국정원 클라우드 보안검증은 2027년 7월부터 본격 적용된다.
AI 도입 확대와 민간·공공을 가리지 않는 지능형 사이버 위협에 대응하기 위한 제로트러스트 체계로의 전환은 충분히 공감하며, 공공 클라우드 보안전문 MSP로서 N2SF 실증사업에 참여해온 당사도 이 흐름을 응원한다. 다만 현장에서 만나는 중소 SaaS 공급기업들이 지금 어떤 궁금증을 안고 있는지, 그 목소리를 조심스럽게 공유해보고자 한다.
7,617억 원 생태계, 지금 어디에 서 있나
디지털서비스 이용지원시스템은 과기정통부가 서비스 등록·선정을, 조달청이 디지털서비스몰을 통해 구매·계약을 담당하는 이원 구조로 운영되고 있다. 2026년 5월 말 기준 699건의 서비스, 2,744건의 계약, 누적 7,617억 원의 거래 규모를 이룬 이 생태계의 등록 기반이 바로 CSAP 인증이었다. CSAP 폐지가 결정되면서, 이 생태계를 구성해온 중소 SaaS 공급기업들 사이에서 세 가지 질문이 이어지고 있다.
-인증 유효기간 인정이 서비스 공급까지 포함되나?
정부는 2027년 7월 이전 CSAP 취득 시 취득 시점에 따라 남은 유효기간(최대 5년)을 인정하기로 했다. 그런데 이것이 인증서 효력에 그치는 것인지, 이용지원시스템 등록 지위 유지와 신규 계약 체결까지 포함하는 것인지 명확하지 않다.
-과기정통부 등록·조달청 계약 경로는 어떻게 바뀌나?
2027년 7월 이후 과기정통부의 이용지원시스템 등록 기준이 어떻게 바뀌는지, 기존 서비스는 어떻게 처리되는지, 조달청의 계약 경로가 유지되는지에 대해 아직 공식 안내가 없다.
-N2SF 도입 공공기관에 우리 서비스는 적합한가?
공공기관이 N2SF 체계에 따라 업무를 C·S·O 등급으로 분류하고 보안 통제를 적용할 때, 기존 CSAP 인증 SaaS 서비스가 해당 등급의 보안 통제 요건을 충족하는지 중소 SaaS 공급기업 입장에서는 판단하기 어렵다. N2SF 도입 기관이 요구하는 보안 요건을 서비스가 갖추지 못할 경우 사실상 계약에서 배제될 수 있다는 우려도 있으나, SaaS 공급기업을 위한 대응 가이드는 아직 확인된 것이 없다.
N2SF 전환은 공공 클라우드 생태계 전반에 걸친 변화다. 대형 사업자들은 이미 제로트러스트 대응 경험을 갖추고 있지만, 공공 특화 SaaS를 CSAP 인증 기반으로 운영해온 중소 SaaS 공급기업들은 다르다. 공공기관의 N2SF 도입이 확산될수록 SaaS 서비스에 요구되는 보안 통제 수준도 높아질 수밖에 없다. 그러나 어떤 요건을 어느 수준으로 갖춰야 하는지, 중소 SaaS 공급기업이 독자적으로 파악하기는 쉽지 않은 상황이다.
'인증 유효기간 내 서비스 공급 지위의 연속성', '이용지원시스템의 등록·조달 경로의 유지 여부', 'N2SF 도입 기관 대응을 위한 공급기업 지원 방안', 이 세 가지에 대한 명확한 안내가 이어진다면, 전환의 불안은 크게 줄어들 것이다. 수년에 걸쳐 쌓아온 공공 디지털서비스 생태계가 정책 전환 과정에서 자연스럽게 이어지기를 바란다. 현장의 작은 목소리가 정책의 빈틈을 채우는 데 도움이 되기를 바라며 이 글을 마친다.
디딤 컨설팅그룹장 서정훈
