중요도 최상 공공 클라우드, 외부 네트워크 차단 등 기준 나왔다

과기정통부, 공공 클라우드 보안 등급제 고시 중 상·중 등급 내용 반영
수수료 인하 등 제도 완화 추가 시행 예정

이미지투데이

외교와 안보 등 국가 중대이익을 좌우할 수 있는 상등급 중요도의 행정망에 클라우드를 도입할 때 외부 인터넷과 연결 접점이 없도록 내부망에 해당하는 수준으로 보안을 강화해야 한다.

과학기술정보통신부는 이같은 내용의 'CSAP(클라우드 컴퓨팅 서비스 보안인증)에 관한 고시' 일부 개정안을 이달 6일부터 26일까지 행정예고한다고 6일 밝혔다.

과기정통부는 1만7000여개에 이르는 기존 정부·공공 행정 시스템들이 국가정보원의 시스템 중요도 분류기준에 따라 상·중·하 등급으로 나눠지면 해당 등급별로 상이한 보안 규제를 적용할 예정이다. 이미 지난해 1월 하 등급에 해당하는 시스템에는 완화된 보안 기준이 적용되고 있다. 기존에는 시스템의 중요도와 무관하게 정부·공공망은 무조건 업무망과 인터넷 망을 물리적으로 분리하는 방식(물리적 망분리)만 써야 했다. 정부·공공 클라우드 이용률이 20%에 못 미치는 이유 중 하나로 물리적 망분리 원칙이 꼽히며 이를 완화함으로써 하 등급에서나마 민간 클라우드 인프라를 활용할 수 있도록 해준 것이다.

과기정통부는 행정안전부와 함께 지난해 11월부터 상·중 등급 시스템에도 시범적으로 민간 클라우드 시스템을 적용하는 사업을 진행했다. 이후 국정원의 보안진단 결과를 반영해 이번에 상·중 등급 시스템에 클라우드를 도입하기 위한 기준이 마련된 것이다.

하 등급에 대한 규제가 완화된 반면 중 등급에 대한 보안 수준은 현 수준을 유지하는 것으로, 상 등급에 대한 보안 수준은 기존 대비 강화하거나 보완하는 것으로 가닥이 잡혔다. 이번 고시에 따르면 외교, 안보 등 국가의 중대한 이익과 관련한 내용을 다루거나 행정 내부 업무를 다루는 상 등급 시스템은 △외부 네트워크 차단 △보안감사 로그 통합 관리 △계정 및 접근 권한 자동화 △보안패치 자동화 등 4개 평가항목이 신설됐다. 외부 네트워크 차단이란 공공망 전용 데이터센터 등을 별도로 구성해 외부 인터넷과의 접속을 원천적으로 차단하도록 한다는 것을 의미한다.

중 등급에 대해서는 시스템 격리, 물리적 영역 분리 등 내용이 규정됐다. 물리적 영역 분리란 외부망 장비와 공공망 장비가 구분 운용돼야 한다는 점에서는 물리적 망분리와 유사하지만 데이터센터 등 리전(서비스 구역) 분리까지 요구하지 않는다는 점에서 물리적 망분리에 비해서는 다소 약한 조치로 풀이된다. 지난해 하 등급에 대한 규제 완화의 골자가 물리적 영역분리가 아닌 논리적 영역분리(소프트웨어를 이용해 망 분리 효과를 내는 방식)가 허용된 반면 상·중등급에서는 물리적 영역분리 또는 망분리 원칙이 그대로 유지된 것이다.

과기정통부는 이번 행정예고를 거쳐 상·중 등급에 대한 고시가 시행되면 사업자 부담 해소를 위한 제도 개선도 추진한다는 방침이다. 먼저 클라우드 기술 고도화, 지속적인 자산 규모의 확대 등의 현실을 반영해 인증평가시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐 아니라 외부 전문기관이 점검하는 방식 등도 허용하는 것으로 개선한다. 동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우, 중복되는 평가항목은 생략(40~50% 수준)하고, 수수료 할인 폭도 확대(50%)한다. 인증 수수료 유료화에 따른 중소·중견 기업의 부담을 경감시키기 위해 수수료 지원도 강화(최대 70%)할 예정이다.

과기정통부 관계자는 "클라우드 보안인증 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역(행정내부업무 등)이 시스템 중요도에 따라 상중하 등급으로 나눠지고, 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다"며 "본격적인 민간 클라우드 활용에 앞서, 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증해 이용기관의 보안에 대한 우려를 불식시키고, 클라우드 제공 사업자의 전반적인 보안 수준을 높이는 데 역할을 다하도록 하겠다"고 밝혔다.

황국상 기자 gshwang@mt.co.kr