공공 클라우드 보안 검증, ‘국정원 단일 검증 체계’로 일원화
국가정보원(이하 국정원)과 과학기술정보통신부(이하 과기정통부)는 기업이 공공 클라우드 시장에 진입할 때 거쳐야 하는 보안 검증 절차를 국정원 단일 검증 체계로 일원화한다고 20일 밝혔다.
양 기관은 인공지능(AI) 행정 수요가 늘면서 공공기관의 민간 클라우드 도입 속도를 높이고, 기업의 중복 인증 부담을 줄이기 위해 제도 개편을 추진한다. 새 제도는 올해 상반기 ‘국가 클라우드컴퓨팅 보안가이드라인’ 등을 개정해 시행을 예고하고, 1년 유예 기간을 거쳐 2027년 하반기부터 본격 시행된다.
클라우드 보안인증(CSAP, Cloud Security Assurance Program)은 클라우드컴퓨팅서비스 사업자가 제공하는 서비스가 정보보호 기준을 지키는지 평가·인증하는 제도다. 국정원 보안검증은 클라우드컴퓨팅서비스에 대해 수립한 보안 대책의 적합성을 검증하는 절차다.
현재 민간 클라우드 기업이 공공 시장에 진입하려면 과기정통부의 CSAP를 먼저 취득한 뒤 국정원의 보안검증도 거쳐야 한다. CSAP 안에는 민간 공통 보안요건과 공공 보안요건이 포함되어 있다. 이 때문에 기업 입장에서는 민간 인증과 공공 검증이 한 제도 안에 섞여 있고, 이후 국정원 확인 절차까지 이어지는 구조였다.
새 체계에서는 공공 영역의 보안검증을 국정원 기준으로 단일화한다. 기업은 공공기관에 클라우드 서비스를 공급하려면 국정원 검증체계만 거치면 된다.
국정원은 “새 제도가 기존보다 검증을 더 강화하는 방식은 아니다”라고 설명했다. 공공 보안요건은 이미 현행 CSAP 안에 들어 있었기 때문이다. 앞으로는 CSAP 전체를 그대로 요구하기보다 공공 클라우드 제공에 필요한 보안요건 중심으로 검증 항목을 다시 짠다.
국정원 관계자는 새로 바뀌는 구조를 “단일 검증 패스 형태로 볼 수 있다”며 “기업이 한 번의 검증으로 공공 공급 가능 여부를 확인받는 구조로 기업 입장에서는 절차가 간소화됐다고 본다”고 설명했다.
다만 새 체계가 CSAP 안의 공공 보안요건만 단순히 떼어 보는 방식은 아니다. 국정원은 민간 공통 보안요건에 들어 있는 관리적·물리적·기술적 보호조치 가운데 공공 클라우드 보안에 필요한 항목은 새 기준에 반영할 수 있다고 설명했다.
기존 CSAP 효력은 남은 기간 인정
정부는 새 제도 시행 전까지는 현행 체계를 유지한다. 유예기간 동안 기업은 지금처럼 CSAP 신규 인증을 신청하거나 기존 인증을 갱신할 수 있다.
새 제도 시행 전에 CSAP를 받은 서비스는 인증서에 남아 있는 유효기간을 그대로 인정받는다. CSAP 인증 유효기간은 5년이다. 2026년 6월 CSAP를 받았다면, 새 제도가 2027년 7월 시행돼도 남은 약 4년 동안 인증 효력을 인정받는다.
해당 기간에는 별도 전환 절차 없이 공공 클라우드 보안성을 충족한 서비스로 인정된다. 기존 인증 기업이 새 제도 시행으로 다시 검증을 받아야 하는 부담을 줄이기 위한 조치다.
기존 CSAP 평가기관의 전문성도 새 제도에 연계한다. 현행 CSAP 평가기관을 신규 검증제도 평가기관으로 활용해 행정 절차의 연속성을 확보할 방침이다.
민간 인증은 ISMS 내 모듈로 편입, 검증 항목은 산업계 의견 거쳐 확정
민간 영역의 클라우드 보안인증은 ‘정보보호 관리체계(ISMS, Information Security Management System)’ 인증 안에서 운영한다. ISMS는 기업의 정보기술(IT) 자산을 안전하게 관리하는 체계가 있는지 확인하는 인증이다.
과기정통부는 CSAP를 별도 제도로 운영하기보다 ISMS 체계에 클라우드 특화 모듈을 추가하는 방안을 마련한다. 공공 진출에 필요한 보안검증은 국정원 체계로 옮기고, 민간 클라우드 보안 수준을 확인하는 인증은 ISMS 안에서 자율 인증 형태로 운영한다.
국정원 관계자는 “개편으로 보안기준을 하나로 통합해 행정 절차의 효율성을 높이고, 기업이 핵심 서비스 혁신에 더 집중할 수 있는 환경을 만들겠다”고 밝혔다.
정부는 새 검증제도의 공정성과 타당성을 보완하기 위해 ‘민관 검증심의위원회’를 운영한다. 위원회는 과기정통부가 추천한 인사, 관계기관, 산학연 전문가로 구성된다. 검증 결과의 공정성과 타당성을 평가하는 역할을 맡는다.
또한 국정원은 검증제도 운영지침과 클라우드 검증항목 안내서도 제정해 추후 공개할 계획이다. 기업이 어떤 항목을 준비해야 하는지 미리 확인할 수 있도록 하기 위한 조치다.
검증 항목은 아직 확정되지 않았다. 국정원은 초안을 만든 뒤 클라우드 사업자와 산업계 의견을 들을 예정이다. 실제 서비스 운영 과정에서 이행이 어렵거나 현실성이 떨어지는 항목은 의견 수렴을 거쳐 조정한다는 방침이다.
해외사업자 배제 조항 없어, N2SF와도 연계
해외 클라우드 사업자와의 형평성 문제와 관련해서는 특정 국가나 특정 기업을 배제하는 조항은 없다고 국정원은 설명했다. 보안 기준이 국내 기업과 해외 기업을 나눠 다르게 적용하는 구조가 아니라는 설명이다.
국정원 관계자는 “같은 기준을 적용하더라도 기업의 서비스 운영 방식, 인프라 구조, 보안 통제 방식에 따라 실제 이행 난도는 달라질 수 있다”며 “새 검증 항목을 만들 때 산업계 의견을 듣고 기준 적용 과정에서 혼선을 줄이겠다”고 했다.
망분리 기준도 ‘국가망보안체계(N2SF)’와 정합성을 맞춘다. N2SF는 업무정보와 정보시스템의 중요도에 따라 보안 수준을 다르게 적용하는 새 공공 보안 체계다. 기존처럼 모든 환경을 물리적으로 분리하는 방식이 아니라, 중요도에 따라 물리적 분리, 논리적 분리, 가상화 기반 분리 등을 조합하는 방향이다.
류제명 과기정통부 2차관은 “국정원과 협력해 부처 간 칸막이를 과감히 허물었으며, 이를 통해 우리 기업들이 보안의 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다”며 “기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여해 산업 생태계의 안정적 성장을 돕겠다”고 밝혔다.
김창섭 국정원 3차장은 “이번 정책으로 그간 이중규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준을 높이는 데 주안점을 뒀다”며 “기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것”이라고 밝혔다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
