정부가 논란의 클라우드 보안인증(CSAP) 등급제 시행을 위한 제도 정비 ‘첫 단추’를 뀄다. 클라우드 기업이 공공 조달 시장 문턱을 넘기 위해 일반 인터넷(외부망) 영역과 물리적으로 분리한 별도 인프라·시스템 구축, 운영, 관리 시설과 인력을 갖추기 위한 부담을 덜 수 있을 전망이다.
1일부터 CSAP 제도 관련 과학기술정보통신부 고시와 국가정보원 지침이 본격 시행된다. 정부는 이로써 작년 예고대로 논리적 망 분리 영역을 구성하고 CSAP를 취득한 민간 클라우드로 일부 공공 정보시스템을 운영할 수 있도록 해 민간 클라우드 사업자가 공공 조달 클라우드 시장 일부 영역에 진입하기 위한 요건을 완화했다.
같은 날 국정원도 개정한 ‘국가정보보안 기본지침’을 발표했다. 여기에 신설된 ‘클라우드 서비스 이용 시스템 중요도 등급 분류기준’을 담았다. 이 기준은 국가기관 등에서 정보시스템 중요도를 상·중·하 등급으로 나눌 때 쓰인다. 국가기관 등은 시스템 중요도 이상의 등급에 해당하는 CSAP를 취득한 민간 클라우드를 써야 한다.
국정원 관계자는 “CSAP 등급제 시행 시기에 맞춰 우선 시스템 중요도 등급 분류기준을 마련했다”며 “당장 시행하는 하 등급 CSAP에 대응하는 하 등급 분류기준은 확정됐으나, 중·상 등급 분류기준은 연내 중·상 등급 CSAP 실증사업을 진행하는 과정에 유관 부처와 협의해 개선해 나갈 것”이라고 설명했다.
신설된 기준에 따르면 “개인정보를 포함하지 않고 공개된 공공 데이터를 포함 또는 운영하는 시스템으로 침해될 경우 운영기관, 자산 및 개인에게 ‘제한적인 영향’을 미칠 수 있는” 정보시스템은 중요도가 가장 낮은 하(下) 등급으로 분류된다. 하 등급 시스템은 ‘논리적 망 분리’ 영역을 구성한 민간 클라우드로 운영할 수 있다.
등급제 도입 전 CSAP를 취득하려면 네트워크 보안을 위해 반드시 ‘물리적 망 분리’ 영역을 구성해야 했다. 클라우드 서비스에 물리적 망 분리를 적용하려면 인터넷에 연결된 기존 서비스 인프라와 별개의 공간, 설비, 솔루션을 구축하고 운영해야 한다. 아마존웹서비스(AWS) 같은 다국적 기업이 수용하기 어려운 조건이었다.
정부는 우선 물리적 망 분리를 요구하지 않는 CSAP 하 등급 시행으로 국가·공공기관·지방자치단체 정보시스템의 민간 클라우드 시장이 형성되고 전체 공공 부문 클라우드 수요가 커질 것이라고 전망한다. 업계는 이 가능성에 관심을 나타내고 있지만, 정부 전망을 뒷받침할 기관 예산·수요 조사가 필요하다는 지적도 나온다.
국내 중소·중견 소프트웨어 기업 뿐 아니라 최근 일부 외국계 기업이 국내 공공기관용 민간 클라우드 시장에 도전을 선언하는 사례도 나오고 있다. 표면적으로는 관망 태세인 AWS나 마이크로소프트 등 글로벌 클라우드 시장 선두권을 달리는 빅테크 기업도 이 분야 진입에 비상한 관심을 기울이는 것으로 알려진다.
국정원 신설 기준에 따라 ‘비공개 업무자료’를 다루고 침해 시 기관이나 개인에게 ‘심각한 영향’을 줄 만한 정보시스템은 중 등급으로 분류된다. ‘국가 중대 이익(안보·국가안전·국방·통일·외교 등), 수사·재판 등 민감정보’를 다루거나 ‘행정 내부업무’를 운영하고 침해 시 ‘치명적 악영향’을 끼칠 시스템이라면 상 등급이 된다.
국정원은 이번에 개정한 국가정보보안 기본지침을 반영한 ‘국가 클라우드 컴퓨팅 보안 가이드라인’도 함께 발간했다. 이는 국가기관의 클라우드 도입 절차와 보안 기준을 설명하는 문서로 지난 2016년 처음 공개된 기존 ‘국가·공공기관 클라우드 컴퓨팅 보안 가이드라인’이 이름을 바꾼 것이다.