정부, 문턱 낮춘 '클라우드 보안인증 등급제' 시동…제도 정비 첫 단추 뀄다

2023-02-01 12:05
  • 글자크기 설정

1월 말 과기정통부 CSAP 고시 공포, 국정원 '국가정보보안 기본지침' 개정도

국정원 지침 반영, 명칭 바꾼 '국가 클라우드 컴퓨팅 보안 가이드라인'도 배포

"CSAP 등급제 맞춰 하 등급 시스템 분류에 적용…실증 거쳐 중상 등급 보완"

공공부문 민간 클라우드 수요 확대 가능성에 국내외 기업 관심…수요조사 필요

[사진=게티이미지뱅크]


정부가 논란의 클라우드 보안인증(CSAP) 등급제 시행을 위한 제도 정비 ‘첫 단추’를 뀄다. 클라우드 기업이 공공 조달 시장 문턱을 넘기 위해 일반 인터넷(외부망) 영역과 물리적으로 분리한 별도 인프라·시스템 구축, 운영, 관리 시설과 인력을 갖추기 위한 부담을 덜 수 있을 전망이다.

1일부터 CSAP 제도 관련 과학기술정보통신부 고시와 국가정보원 지침이 본격 시행된다. 정부는 이로써 작년 예고대로 논리적 망 분리 영역을 구성하고 CSAP를 취득한 민간 클라우드로 일부 공공 정보시스템을 운영할 수 있도록 해 민간 클라우드 사업자가 공공 조달 클라우드 시장 일부 영역에 진입하기 위한 요건을 완화했다.
구체적으로 보면 전날(1월 31일) 과기정통부는 현행 CSAP의 단일 등급 체계를 세 등급(상·중·하)으로 바꾼 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’를 공포했다. 현행 인증은 중(中) 등급으로 승계하고 보안인증 평가 기준을 더 보완·강화한 인증은 상(上) 등급, 평가 기준을 완화한 인증은 하(下) 등급으로 구성하는 내용이다.

같은 날 국정원도 개정한 ‘국가정보보안 기본지침’을 발표했다. 여기에 신설된 ‘클라우드 서비스 이용 시스템 중요도 등급 분류기준’을 담았다. 이 기준은 국가기관 등에서 정보시스템 중요도를 상·중·하 등급으로 나눌 때 쓰인다. 국가기관 등은 시스템 중요도 이상의 등급에 해당하는 CSAP를 취득한 민간 클라우드를 써야 한다.

국정원 관계자는 “CSAP 등급제 시행 시기에 맞춰 우선 시스템 중요도 등급 분류기준을 마련했다”며 “당장 시행하는 하 등급 CSAP에 대응하는 하 등급 분류기준은 확정됐으나, 중·상 등급 분류기준은 연내 중·상 등급 CSAP 실증사업을 진행하는 과정에 유관 부처와 협의해 개선해 나갈 것”이라고 설명했다.

신설된 기준에 따르면 “개인정보를 포함하지 않고 공개된 공공 데이터를 포함 또는 운영하는 시스템으로 침해될 경우 운영기관, 자산 및 개인에게 ‘제한적인 영향’을 미칠 수 있는” 정보시스템은 중요도가 가장 낮은 하(下) 등급으로 분류된다. 하 등급 시스템은 ‘논리적 망 분리’ 영역을 구성한 민간 클라우드로 운영할 수 있다.

등급제 도입 전 CSAP를 취득하려면 네트워크 보안을 위해 반드시 ‘물리적 망 분리’ 영역을 구성해야 했다. 클라우드 서비스에 물리적 망 분리를 적용하려면 인터넷에 연결된 기존 서비스 인프라와 별개의 공간, 설비, 솔루션을 구축하고 운영해야 한다. 아마존웹서비스(AWS) 같은 다국적 기업이 수용하기 어려운 조건이었다.

정부는 우선 물리적 망 분리를 요구하지 않는 CSAP 하 등급 시행으로 국가·공공기관·지방자치단체 정보시스템의 민간 클라우드 시장이 형성되고 전체 공공 부문 클라우드 수요가 커질 것이라고 전망한다. 업계는 이 가능성에 관심을 나타내고 있지만, 정부 전망을 뒷받침할 기관 예산·수요 조사가 필요하다는 지적도 나온다.

국내 중소·중견 소프트웨어 기업 뿐 아니라 최근 일부 외국계 기업이 국내 공공기관용 민간 클라우드 시장에 도전을 선언하는 사례도 나오고 있다. 표면적으로는 관망 태세인 AWS나 마이크로소프트 등 글로벌 클라우드 시장 선두권을 달리는 빅테크 기업도 이 분야 진입에 비상한 관심을 기울이는 것으로 알려진다.

국정원 신설 기준에 따라 ‘비공개 업무자료’를 다루고 침해 시 기관이나 개인에게 ‘심각한 영향’을 줄 만한 정보시스템은 중 등급으로 분류된다. ‘국가 중대 이익(안보·국가안전·국방·통일·외교 등), 수사·재판 등 민감정보’를 다루거나 ‘행정 내부업무’를 운영하고 침해 시 ‘치명적 악영향’을 끼칠 시스템이라면 상 등급이 된다.

국정원은 이번에 개정한 국가정보보안 기본지침을 반영한 ‘국가 클라우드 컴퓨팅 보안 가이드라인’도 함께 발간했다. 이는 국가기관의 클라우드 도입 절차와 보안 기준을 설명하는 문서로 지난 2016년 처음 공개된 기존 ‘국가·공공기관 클라우드 컴퓨팅 보안 가이드라인’이 이름을 바꾼 것이다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기