정부가 국가·공공기관에 제공되는 민간 클라우드에 부여하는 '클라우드 보안인증(CSAP)' 제도를 기존 단일 등급에서 '상·중·하' 3등급으로 개정하는 방안이 윤곽을 드러냈다. 현행 대비 인증 기준을 완화하는 '하' 등급을 우선 시행하고 '상·중' 등급을 보완해 나간다는 방침이다.

과학기술정보통신부는 CSAP 등급제 도입을 위한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 내년 1월 18일까지 행정예고한다고 29일 밝혔다. 이는 지난 8월 18일 현안점검회의에서 결정된 CSAP 등급제 세부실행방안으로 등급 분류기준, 상세 평가기준 등에 대해 관계부처 협의, 산업계 의견수렴, 디지털플랫폼정부위원회(이하 '디플정위') 논의해 온 결과다.

CSAP 등급제 개편 이후 국가·공공기관은 신설되는 '시스템 중요도 분류 기준 및 절차'에 따라 민간 클라우드를 이용하려는 시스템의 중요도를 상·중·하 등급으로 자체 분류해야 한다. 분류된 시스템의 중요도 등급에 따라 국가·공공기관이 해당 시스템에 민간 클라우드를 이용할 때 요구하는 CSAP 등급이 달라질 것이란 얘기다.

정부는 CSAP에 3등급제를 도입하고 먼저 하 등급 시스템에 대한 CSAP를 고시 공포 이후 시행한다. 상·중 등급 시스템은 안전성과 활용성 등을 고려해 디플정위와 관계부처 공동 실증·검증을 통해 세부 평가기준을 보완하고 내년 안에 시행한다. 3등급제로 민간 클라우드 이용이 제한된 공공 영역을 개방해 클라우드 시장 전반을 활성화하고 공공 서비스를 혁신하겠다는 구상이다.

CSAP 3등급 중 하 등급을 '개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템', 중 등급을 '비공개 업무자료를 포함하거나 운영하는 시스템', 상 등급을 '민감 정보를 포함하거나 행정 내부업무 운영 시스템'으로 분류할 계획이다. 다만, 클라우드 시장 창출, 공공 서비스 품질 향상을 위해 행정 내부업무 운영 시스템을 중 등급으로 분류할 수 있게 한다.

기존 대비 하 등급 평가기준을 완화한다. 하 등급 시스템에 국내 서비스형 소프트웨어(SaaS) 사업자가 공공 시장에 신규 진입할 수 있도록 민간·공공 영역 간 '물리적 (망) 분리' 요건을 완화한 '논리적 (망) 분리'를 허용하되 물리적 시스템·데이터 위치를 국내에 한정하는 요건을 검증하는 평가항목을 추가한다. 중 등급 평가기준을 현행 수준으로 유지하고 상 등급 평가기준을 보완·강화한다.

일부 행정 내부업무 운영 시스템까지 민간 클라우드 소비처로 만들어 줄 수 있는 중 등급 평가기준은 내·외부망 접근과 활용에 대해 검증을 거쳐 보완한다. 기존 CSAP 유형(IaaS, SaaS표준, SaaS간편)에서 상벌규정 등 불필요한 평가항목을 통폐합·삭제하고 클라우드 멀티테넌트(여러 이용 주체의 동시·분할 점유) 특성을 고려해 이용 기관 별 데이터베이스 테이블 분리 기준 등을 완화했다.

과기정통부는 행정예고 기간 중 업계, 관계기관 등이 참여하는 간담회를 개최해 의견을 듣고 수렴 결과를 최종 고시 개정안에 반영해 1월 중 공포할 예정이다. 이번 제도 개정안 전문은 과기정통부 웹사이트 '법령' 분류의 '입법·행정예고' 항목에서 확인할 수 있다. 

과기정통부는 "디지털플랫폼정부의 성공적 구현을 위해 민간 클라우드 서비스를 활용한 대국민 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 측면을 함께 고려해야 한다"며 "하 등급 시스템은 글로벌 경쟁 환경 조성과 보안성 측면을 고려하고 상·중 등급 시스템에 대해 신규 시장을 창출해 국내 클라우드 산업 전반의 성장을 위해 노력하겠다"고 말했다.