CSAP 등급제 윤곽 공개…하 등급에 ‘논리적 망분리’ 허용
클라우드 보안인증(CSAP) 등급제가 윤곽을 드러내고 내년 본격 추진된다. 시스템 중요도에 따라 ‘상·중·하’로 등급을 나누고 하 등급의 경우 ‘논리적 망분리’를 허용하기로 했다.
과학기술정보통신부는 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 다음달 18일까지 행정예고한다고 29일 밝혔다. 과기정통부는 지난 8월 18일 현안점검회의에서 결정된 클라우드 보안인증 등급제의 세부 실행방안으로서 등급 분류기준, 상세한 평가기준 등을 관계부처와 협의하고 산업계 의견 수렴, 디지털플랫폼정부위원회와 논의를 지속해 왔다.
민간 클라우드를 이용하고자 하는 국가‧공공기관은 시스템 시스템을 상‧중‧하 등급으로 자체 분류한다. 상 등급은 민감정보를 포함하거나 행정 내부업무 운영을 위한 시스템, 중 등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템에 적용한다. 다만 행정 내부업무 운영 시스템은 시스템 중요도에 따라 중 등급으로도 분류할 수 있도록 한다.
특히 하 등급에는 논리적 망분리가 허용된다. 논리적 망분리는 가상 클라우드 서버 등을 통해 하나의 서버 안에서 망을 분리시켜 놓은 것을 뜻한다. 현 CSAP 제도는 공공용 클라우드 서버와 민간용 클라우드 서버를 물리적으로 구분하는 물리적 망분리를 인증 요건으로 뒀었다. 외국계 CSP는 이러한 요건을 충족하지 못해 국내 공공시장 진출에 장벽이 있었지만 이제 문호가 개방되는 셈이다. 반대로 국내 CSP의 입지는 좁아질 수 있다. 단, 과기정통부는 데이터 저장 위치 증명 및 로그 정보 점검 등을 통해 데이터 위치를 국내로 한정하는 요건 검증을 강화하기로 했다고 설명했다.
중 등급 평가기준은 현행 수준으로 유지하고, 상 등급 평가기준은 보완‧강화하기로 했다. 세부적인 평가기준은 실증·검증을 거쳐 추후 마련한다. 중 등급의 경우 행정 내부업무 운영 시스템에도 적용될 수 있어 보안성을 담보한 네트워크 접근을 허용하고 내‧외부망 접근‧활용 등에 대한 세부 평가기준을 보완할 계획이다.
과기정통부는 기존 인증 유형(IaaS, SaaS표준, SaaS간편 등)에 대해서도 상벌규정 등 불필요한 평가항목을 통폐합 및 삭제하고, 클라우드 멀티테넌트 특성(다중이용자 사용)을 고려해 이용기관별 테이블 분리 기준을 완화하는 등 규제를 간소화한다고 설명했다.
과기정통부는 행정예고 기간 동안 업계, 관계기관 등이 참여하는 간담회 등을 개최해 의견을 수렴하고, 결과를 최종 고시 개정안에 반영해 1월 중 공포할 예정이다. 하 등급은 고시 공포 이후 시행하고 중‧상 등급은 안전성을 고려해 디지털플랫폼정부위원회와 관계부처의 공동 실증·검증을 거쳐 세부 평가기준을 보완해 내년 중 시행한다.
과기정통부 관계자는 “디지털플랫폼정부의 성공적인 구현을 위해서는 민간의 클라우드 서비스를 활용한 대국민 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 측면이 함께 고려돼야 한다”며 “하 등급 시스템은 글로벌 경쟁 환경조성과 보안성 측면을 고려하고, 상‧ 중등급 시스템은 신규 시장을 창출해 국내 클라우드 산업 전반의 성장을 위해 노력하겠다”고 밝혔다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network