클라우드 보안인증 수수료 정부 지원 축소…유효기간 5년으로 일원화

By이진호

정부의 클라우드 보안인증(CSAP) 수수료 전액 지원이 중단된다. 하지만 앞으로도 중소기업의 부담은 그리 크지는 않을 전망이다. 소기업의 경우 최대 70%까지 수수료를 감면 받을 수 있다. CSAP 평가기관도 여러 곳으로 늘어나 빠른 평가가 가능해질 것으로 보인다. 논란이 된 CSAP 등급제는 당초 예상보다 늦게 윤곽이 나올 전망이다.

과학기술정보통신부와 한국인터넷진흥원(KISA)은 14일 서울역 공간모아 회의실에서 ‘클라우드컴퓨팅서비스 정보보호에 관한 기준’ 개정안 설명회를 개최했다.

과기정통부는 지난 7일 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시 개정안’을 행정예고한 바 있다. 올해 1월 개정된  ‘클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률’에 따른 후속 조치다. 이날 설명회는 내년 1월 법률 시행을 앞두고 고시로 위임된 사항에 대한 의견을 수렴하는 자리다.

CSAP는 클라우드서비스제공자(CSP)의 정보보호 기준 준수 여부를 평가·인증하는 제도로, 설명회에서는 CSAP를 받기 위한 수수료 부과 및 지원계획, 인증 평가방식 개선 계획 등이 안내됐다.

설재진 과기정통부 사이버침해대응과장이 인사말을 하고 있다.

개정안에 따르면, 앞으로 CSAP 인증 비용은 100% 국비 지원에서 일부 지원으로 바뀐다. 늘어나는 인증에 따른 국비 부담을 줄이기 위한 조치다. 대기업은 수수료를 모두 내야 하지만 중소기업은 우대하기로 했다. 중기업은 50%, 소기업은 최대 70%까지 감면받을 수 있다. 중소기업기본법 분류에 따른 중기업은 50%, 소기업은 30%의 수수료를 미리 낸 뒤, 추후 신청을 거쳐 심사를 통과하면 나머지 금액을 내지 않아도 되는 구조다.

KISA 관계자는 “반기별 1회씩 신청을 받을 예정”이라며 “구체적인 사항은  추후 결정해 공지할 계획”이라고 말했다.

CSAP 인증 및 평가도 현재 KISA가 단독으로 수행하던 것에서 복수기관이 수행하는 것으로 바뀐다. 더 원활한 인증 및 평가를 위한 방안이다. 인증기관 또는 평가기관으로 지정되려면 ▲조직 및 전문성 ▲신뢰도 ▲업무수행 ▲시설 및 시스템 등의 심사기준표에 따라 100점 만점 중 80점 이상의 조건을 만족해야 한다. 기본 5년간 업무를 수행할 수 있지만 매년 실적 보고서를 제출하고 실사를 거쳐 문제가 발견될 경우 지정이 취소될 수 있다. 또한 KISA 또는 인증기관에 전문가 15인으로 이뤄진 인증위원회를 구성하고 인증평가 결과, 인증 취소, 이의 신청 등을 심의·의결할 방침이다.

KISA 관계자는 “사업자가 평가기관을 선택할 수 있는 방안도 가능은 하다”면서도  “평가를 신청하는 곳과 이해관계나 업무 관계가 있는 평가기관의 경우 제척하는 방안도 고려하고 있다”고 밝혔다.

보안 취약점 점검 절차도 편리해진다.  평가기관이 진행하던 것에서 사업자가 자체적으로 취약점을 평가하는 방식으로 바꾼다. 자체 평가가 어려운 중소 사업자는 KISA의 보안 취약점 점검 사업 등을 통해 지원 받을 수 있다. 단 모의침투 테스트의 경우 여전히 평가기관을 통해 점검 받아야 한다.

서비스형소프트웨어(SaaS) 인증 부담을 완화한다. 이제까지는 이미 보안인증을 받은 SaaS라도 다른 인프라형소프트웨어(IaaS) 환경에 구축하는 경우 재차 인증 절차를 밟아야 했다. 야 했다. 앞으로는 IaaS 변경으로 인한 SaaS 재인증의 경우 인증 평가항목의 약 40%를 생략해 변경사항을 중심으로만 평가한다.

인증 유효기간도 길어진다. 이제까지는 ‘간편’ 또는 ‘표준’으로 나눠 각각 3년, 5년으로 유효기간을 운영했지만 이제는 일률적으로 5년으로 정한다. 그동안 ‘간편’의 경우 3년의 유효 기간이 짧아 재인증에 따른 기업의 행정 부담이 있었다는 게 KISA의 설명이다.

과기정통부는 이날 설명회를 비롯한 의견수렴을 거쳐 최종 고시 개정안을 만들고 국무조정실 규제심사, 법제처 심사 등을 거쳐 내년 법률 시행 이후 공포한다는 계획이다.

한편, 논란이 된 CSAP 등급제와 관련해서는 뚜렷한 방안이 소개되지 않았다. 현 CSAP 제도는 공공용 서버와 민간용 서버를 물리적으로 구분해 운영하는 ‘물리적 망분리’를 인증 요건 중 하나로 두고 컴퓨팅 설비의 위치도 국내로 한정한다. 이에 글로벌 CSP는 논리적 망분리로 충분하다는 의견을 꾸준히 제시해 왔다. 정부가 ‘상·중·하’로 나누는 등급제 도입 방안을 밝힌 가운데 ‘하’ 등급에 이러한 논리적 망분리 허용을 검토하자 국내 CSP들은 역차별 문제를 제기했었다.

이달까지는 확정안이 나올 거라는 게 업계 관측이지만 이날 설명회에서는 명쾌한 답이 나오지 않았다. 발표 시기도 밝히지 않았다.

설재진 과기정통부 사이버침해대응과장은 “전체적인 틀이 많이 바뀌는 변화라 디지털플랫폼정부위원회 등과 등급 분류 기준이나 세부 사항 논의가 필요하다”며 “아직 확정안을 발표하긴 어려운 상황이다. 추가적인 논의가 더 진행될 예정”이라고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다