클라우드 보안인증 등급제 본격 시행

과기정통부, 상중등급 평가기준 담긴 개정안 행정예고

과학기술정보통신부는 클라우드 보안인증 등급제의 상·중등급 평가기준이 반영된 클라우드컴퓨팅서비스 보안인증에 관한 고시 일부 개정안을 26일까지 행정예고한다고 6일 밝혔다.

클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 위해 지난해 1월 도입됐다.

당시 과기정통부는 등급별로 보안인증 평가기준을 차등화해 하등급을 우선 시행했고 상중등급은 관계부처와 함께 실증·검증을 거쳐 보안인증 평가기준을 마련한 바 있다.

이번에 과기정통부는 행정내부시스템을 민간 클라우드로 전환한 실증 환경을 구축하고 국정원의 보안진단 결과를 반영했다.

또 별도의 고시개정 연구반을 운영하면서 국제표준 인증(ISO 27001(정보보안), 27017(클라우드 보안))과 FedRAMP(미국 연방정부 클라우드 보안인증) 등의 인증 평가항목을 분석하고, 추가 보완이 필요한 평가기준을 마련했다.

이를 통해 상등급은 국가 중대이익(안보, 외교 등), 행정 내부업무 등을 운영하는 상등급 시스템의 업무 중요도와 시스템 규모를 고려해 평가항목을 4개 신설했다.

구체적으로 외부 네트워크 차단, 보안감사 로그 통합관리, 계정·접근권한 자동화, 보안패치 자동화 항목을 추가한다.

중등급은 추가하는 항목은 없으나 점검 내용을 명확히 하기 위해 시스템 격리, 물리적 영역 분리 평가항목을 일부 수정했다.

상중등급이 시행되더라도 기존에 인증받은 사업자(IaaS, SaaS 표준, SaaS 간편 등)들은 유효기간 내에서는 중등급으로 인정할 예정이다.

아울러 클라우드 보안인증 상·중등급 시행과 함께 클라우드 환경 변화에 따른 사업자의 부담 해소를 위한 제도개선도 추진한다.

클라우드 기술 고도화, 지속적인 자산 규모의 확대 등의 현실을 반영해 인증평가시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐만 아니라 외부 전문기관이 점검하는 방식 등도 허용하는 것으로 개선한다.

이와 함께 동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우 중복되는 평가항목은 40-50% 수준으로 생략하고, 수수료 할인 폭도 50%로 확대했다.

인증 수수료 유료화에 따른 중소·중견 기업의 부담을 경감시키기 위해 수수료 지원도 최대 70%로 강화할 예정이다.

과기정통부는 "그동안 민간 클라우드 활용이 어려웠던 영역이 시스템 중요도에 따라 상중하 등급으로 나눠지고, 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다"고 설명했다.