CSAP 상·중 등급제 본격 시행..."안보·외교는 프라이빗 클라우드 강제"

2024-02-06 10:03
기존 인증제와 비교해 상 등급은 평가 강화, 중 등급은 유지
중복 평가, 중소·중견 기업은 인증 수수료 할인도

[사진=게티이미지뱅크]
정부가 클라우드컴퓨팅서비스 보안인증(CSAP) 하 등급에 이어 상·중 등급을 본격 시행한다. 국가 안보에 직결된 상 등급은 외부 네트워크 차단(프라이빗 클라우드) 등 강력한 보안 요건이 신설됐고, 기존 CSAP 인증에 준하는 중 등급도 평가를 명확히 하기 위해 일부 항목을 수정했다. 

과학기술정보통신부는 6일 CSAP 상·중 등급 평가기준이 반영된 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 2월 6일부터 26일까지 행정예고했다. 행정예고가 끝나면 CSAP 등급제가 본격 시행된다.

CSAP 등급제는 공공 부문의 민간 클라우드 서비스 이용 활성화를 위해 지난해 1월 도입한 제도다. 등급별로 보안인증 평가기준을 차등화해 △상 등급은 기존 평가기준을 보완‧강화 △중 등급은 현행 수준을 유지 △하 등급은 합리적으로 완화하는 것을 골자로 한다. 이에 하 등급 보안인증 평가기준이 담긴 고시를 개정하면서 하 등급을 지난해 우선 시행했다.

과기정통부에 따르면 상 등급은 안보, 외교 등 국가 중대이익과 직결되거나, 행정 내부업무용 시스템을 클라우드에서 운영할 때 받아야 하는 등급이다. 중요성과 시스템 규모를 고려해 △외부 네트워크 차단(프라이빗 클라우드 강제) △보안감사 로그 통합관리 △계정과 접근권한 자동화 △보안패치 자동화 항목 등을 평가항목으로 추가했다.

기존 CSAP 인증에 준하는 중 등급은 추가하는 평가항목은 없다. 다만 점검 내용을 명확히 하기 위해 △시스템 격리 △물리적 영역 분리 평가항목을 일부 수정했다. 기존에 CSAP 인증(IaaS, SaaS 표준, SaaS 간편)을 받은 사업자는 유효기간 내에선 중 등급으로 인정된다.

한편 과기정통부는 사업자의 CSAP 등급 인증에 따른 부담을 줄이고자 인증평가시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐만 아니라 외부 전문기관이 점검하는 방식 등도 허용하도록 개선한다. 동일한 서비스를 두고 2개 등급 이상 평가를 받을 때에는 중복되는 평가항목을 생략하고, 수수료도 절반으로 할인할 방침이다. 중소·중견 기업이 CSAP 등급 인증을 받을 때에는 최대 70%까지 수수료 지원도 할 예정이다.