`CSAP` 모든 등급 적용… 날개 단 공공 클라우드

팽동현 2024. 2. 6. 16:38
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
상·중·하 3단계로 등급 매겨
클라우드 전환사업 탄력받아
공공시장 내년이후 개화할듯
충분한 예산확보가 최대관건

아이클릭아트 자료 이미지.

아이클릭아트 자료 이미지.

CSAP(클라우드 보안인증)가 드디어 모든 등급의 시행을 앞둬 공공 클라우드 네이티브 전환에도 속도가 날 것으로 기대된다. 본격적인 공공시장 개화는 예산 확보 상황에 따라 내년 이후가 될 전망이다.

과학기술정보통신부는 6일 CSAP 등급제의 상·중등급 평가기준이 반영된 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 이날부터 오는 26일까지 행정예고 한다고 밝혔다.

KISA(한국인터넷진흥원)가 주관하는 CSAP는 국가·공공기관에 제공되는 클라우드 서비스의 보안성을 검증하기 위해 마련된 제도다. 과기정통부는 지난해 초 CSAP에 등급제를 도입, 대상 시스템을 데이터 중요도에 따라 해당 부처·기관이 상·중·하 3단계로 자체 분류하는 형태로 변경했다.

당시 논리적 망분리가 새롭게 허용된 하등급은 우선 시행됐으나, 상·중등급의 경우 행정안전부·국가정보원 등 관계부처와 함께 실증·검증을 거쳐 평가기준을 마련하기로 한 바 있다. 이에 이번 개정안에는 민간 클라우드 환경에 대한 국정원의 보안진단 등 실증사업 결과와 함께 페드램프(미국 연방정부 클라우드 보안인증) 및 국제표준 등을 참고해 개선한 내용을 담았다.

먼저 상등급은 안보·외교 등 국가 중대이익과 관련되거나 행정 내부업무 등을 운영하는 시스템의 업무중요도와 규모를 고려해 △외부 네트워크 차단 △보안감사 로그 통합관리 △계정 및 접근권한 자동화 △보안패치 자동화 등 4개 평가항목을 신설했다.

공공 시스템 가운데 절반 이상 비중을 차지할 것으로 예상되는 중등급의 경우 추가된 항목은 없으나 △시스템 격리 △물리적 영역 분리 평가항목을 일부 수정했다. 점검내용을 명확히 하는 차원에서 시스템 격리 항목에 관리운영망의 외부통신을, 물리적 영역 분리 항목에 관리콘솔을 포함시켰다. 기존에 획득한 CSAP 인증에 대해서도 해당 유효기간 내에는 중등급으로 인정할 예정이다.

CSAP 등급제가 온전히 시행되면 공공 클라우드 도입·전환 수요자인 부처·기관들이 대상 시스템별로 등급을 매겨 본격적으로 클라우드 사업을 펼칠 수 있게 된다. 다만 걸림돌은 역시 예산이다. 행안부의 올해 클라우드 네이티브 전환 예산은 740억원으로, 지난해(342억원)보다는 배가량 늘었으나 2022년(1786억원)에는 한참 못 미친다. 당초 행안부가 신청했던 예산은 1200억원 규모였다.

행안부는 행정전산망 종합대책에 따라 현재 중요도별로 정보시스템 등급 재산정도 추진하고 있다. 지난달 말 '디지털 행정서비스 국민신뢰 제고 대책' 브리핑에서 CSAP 등급제와의 연관성 및 클라우드 전환에 미칠 영향에 대해 행안부는 "사용량 등에 따른 시스템 중요도와 해당 시스템의 보안등급이 100% 일치한다고 볼 수 없다"면서 "정보시스템 등급 재산정은 상반기 내 완료를 목표하고 있다"고 답했다.

클라우드 업계는 공통적으로 "CSAP 전 등급 시행을 계기로 시장이 더욱 커지길 기대한다"는 반응이다. 한 업계 관계자는 "상등급은 주로 행안부 산하 국가정보자원관리원 등에 해당할 테고 중등급으로 분류되는 시스템의 비중이 얼마나 되느냐가 관건"이라며 "내년에는 정부 정책에 맞춰 충분한 예산이 확보돼 국가·공공기관에서 적극적으로 민간 클라우드를 활용할 수 있게 되기를 바란다"고 말했다.

한편 과기정통부는 CSAP 상·중등급 시행과 함께 사업자 부담 해소를 위한 제도 개선도 추진한다. 인증 평가 시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐 아니라 외부 전문기관이 점검하는 방식 등도 허용하는 것으로 개선한다. 또한 동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우 중복되는 평가항목은 생략(40~50% 수준)하고, 수수료 할인 폭도 확대(50%)했으며, 인증 수수료 유료화에 따른 중소·중견기업 부담을 줄이고자 수수료 지원도 강화(최대 70%)할 예정이다.

과기정통부 관계자는 "CSAP 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역이 시스템 중요도에 따라 상중하 등급으로 나눠지고, 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다"며 "본격적인 민간 클라우드 활용에 앞서 시스템 중요도에 부합하는 안전성을 철저히 검증해 이용기관의 보안에 대한 우려를 불식시키고, 클라우드 제공 사업자의 전반적인 보안수준을 높이는 데 역할을 다하도록 하겠다"고 말했다.

팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.