김승주 고려대학교 정보보호대학원 교수(출처=바이라인네트워크)
|

김승주 교수 “공공 클라우드 보안 검증 개편, 이중규제 여전…거버넌스 손봐야”

By곽중희

국가정보원과 과학기술정보통신부가 공공 클라우드 보안검증 절차를 국정원 단일 체계로 개편하겠다고 발표한 가운데, 기업의 이중 인증 부담을 근본적으로 해소하기 위해서는 이번 제도 개편이 검증 절차의 투명성과 보안 거버넌스 개편 논의가 뒤따라야 한다는 지적이 나왔다.

국가인공지능(AI)전략위원회 보안특별위원회(보안특위) 분과위원인 김승주 고려대학교 정보보호대학원 교수는 “이번 개편안은 보안특위에서도 논의된 사안”이라며 “민간에서 한 번 인증을 받고 공공에 들어갈 때 또 검증을 받는 구조는 여전히 남아 있다”고 말했다.

그는 “제도 이름과 주관 체계는 바뀌지만, 기업 입장에서 두 번 검증을 준비해야 하는 본질적 문제는 바뀌지 않았다”며 “또한, 국정원이 공공 클라우드 검증을 맡더라도 평가 기준과 절차를 투명하게 공개해야 한다”고 짚었다.

국정원과 과기정통부는 이날 공공 클라우드 시장 진입 절차를 기존 과기정통부 ’클라우드 보안인증(CSAP)’과 국정원 보안검증 구조에서 국정원 단일 검증체계로 개편한다고 발표했다. 민간 영역의 클라우드 보안인증은 ’정보보호 관리체계(ISMS)’ 안에 클라우드 모듈을 두는 방식으로 바뀐다. 공공 영역은 국정원 검증체계로 일원화된다.

클라우드 보안인증(CSAP)은 클라우드컴퓨팅서비스 사업자가 제공하는 서비스가 정보보호 기준을 지키는지 평가·인증하는 제도다. 정보보호 관리체계(ISMS)는 기업이 정보기술(IT) 자산을 안전하게 관리하는 체계를 갖췄는지 확인하는 인증이다.

두 번 준비하는 구조는 여전

김 교수는 이번 개편이 법·제도 안에서 나온 현실적 조정안이라는 점은 인정했다. 다만 그는 “민간과 공공의 보안 관할이 나뉜 구조를 그대로 두면, 기업은 민간 서비스 운영을 위해 ISMS 기반 클라우드 인증을 준비하고 공공 시장 진입을 위해 다시 국정원 검증을 준비해야 할 수 있다”고 우려했다.

이어 “공공은 국정원, 민간은 과기정통부, 국방은 국방부가 맡는 구조가 법·제도상 정해져 있다”며 “이 틀을 바꾸지 않는 한 민간에서 한 번, 공공에서 한 번 받는 이중규제 문제를 근본적으로 풀기는 어렵다”고 말했다.

이 문제는 최근 국가AI전략위원회 보안특위에서도 다뤄졌다. 김 교수는 “보안특위가 정부의 공공 클라우드 검증체계 개편 방향을 사전에 보고 받았고, 당시에도 제도 개선 필요성과 남는 쟁점을 함께 논의했다”고 설명했다. 이어 “이번 개편안은 현재 제도 안에서 일단 갈 수밖에 없는 측면이 있다”며 “다만 보안특위에서는 보안 거버넌스 체계를 선진국처럼 개선하는 방안을 계속 논의하고, 필요하면 관계기관 협의를 거쳐 법 개정까지 검토해야 한다는 점을 언급했는데, 이 부분이 누락된 것으로 보인다”고 말했다.

국정원, 검증 투명성 갖춰야

김 교수가 강조한 또 다른 쟁점은 ‘투명성’이다. 국정원이 공공 클라우드 검증을 맡더라도 평가 기준과 절차가 기업에 명확히 공개돼야 한다는 것이다. 김 교수는 “그동안 기업들이 국정원 검증과 관련해 담당자 확인, 질의 답변, 평가 기준 파악이 어렵다는 불만을 제기해 왔다”고 설명했다.

그는 “국정원이 검증을 맡더라도 해외 평가·인증 제도처럼 평가 기준과 평가 방법을 투명하게 공개해야 한다”며 “기업이 질의한 내용도 문서화하고 공개해 예측 가능한 상태를 만들어야 한다”고 말했다. 이어 “투명성이 해결되지 않으면 제도 개편의 의미가 무색해진다”고 덧붙였다.

N2SF·AI 시대에 맞는 보안 거버넌스 필요

또한, 김 교수는 공공 클라우드 검증체계를 국가망보안체계(N2SF)와 함께 봐야 한다고도 강조했다. N2SF는 공공의 업무정보와 정보시스템을 기밀(C)·민감(S)·공개(O)로 나누고, 중요도에 따라 다른 보안 통제를 적용하는 새로운 보안 체계다.

김 교수는 “기존 클라우드 보안인증은 상·중·하 등급을 써 왔기 때문에 두 체계의 정합성을 맞출 필요가 있다”고 했다. 이어 “N2SF가 데이터 중요도에 따라 보안 수준을 나누는 방향으로 가고 있다면, 보안 거버넌스도 그에 맞춰 바뀌어야 한다”며 “모든 공공 영역을 한 기관이 같은 방식으로 검증하는 구조가 아니라, 데이터와 시스템의 중요도에 따라 관할과 책임을 나누는 방향을 검토해야 한다”고 말했다.

그는 미국 사례도 언급했다. 미국은 연방정부는 공공기관이 클라우드를 사용할 때 ‘연방위험승인관리프로그램(FedRAMP)’을 활용하지만, 정보기관인 국가안보국(NSA)이 일반 공공 클라우드 인증을 직접 평가하지는 않는다는 설명이다. NSA는 국가안보 시스템에 관여하고, 일반 공공 영역은 다른 체계에서 다루는 구조다.

김 교수는 “정보기관은 정보를 수집하고 국가안보 정보를 다루는 조직이라는 특성이 있다”며 “이런 기관이 평가·인증의 전면에 설 경우 기준과 절차 공개가 제한될 수 있고, 민간 시장에 영향을 미치는 게이트키퍼 역할을 둘러싼 논란도 생길 수 있다”고 말했다.

또한 그는 AI 시대의 보안 대응을 위해서라도 보안 거버넌스 개편이 필요하다고도 언급했다. 그는 “최근 논란이 되고 있는 앤트로픽의 미토스 사태와 같이 고도화된 생성형 AI와 AI 에이전트가 취약점 탐지 등 중요한 보안 영역에 능력을 보이기 시작하면서, 공공기관도 더 빠르게 보안 조치를 판단하고 실행해야 하는 상황이 되고 있다”고 설명했다.

이어 “AI 기반 공격 대응에서는 속도가 중요하다”며 “모든 공공 보안 의사결정이 중앙 승인 구조에 묶이면 신속한 대응이 어려워질 수 있어, 대책이 필요하다”고 덧붙였다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40