기존 과기정통부·국정원 이중 보안인증 절차, 국정원 단일 체계로 개편 2027년 7월 시행 예정...기존 CSAP 유효기간은 그대로 적용
정부가 기업들의 공공 클라우드 시장 진입 시 필요한 검증절차를 국정원 단일 검증체계로 일원화한다. 기존에는 과기정통부와 국정원의 이중 보안인증 절차를 거쳐야 했는데 이를 효율화 한 것이다.
과학기술정보통신부(과기정통부)와 국가정보원(국정원)은 17일 서울 중구 비즈센터에서 이 같은 내용의 '공공 클라우드 시장 진입 절차 개선 방안'을 발표했다.
그간 클라우드 서비스 기업이 공공 시장에 진입하려면 과기정통부의 클라우드보안인증(CSAP)를 먼저 취득한 후 국정원의 '보안인증'도 거쳐야 했다. 중복되는 검증 항목도 있어 효율적이지 못하다는 지적이 이어진 바 있다. 이에 정부는 단일 검증체계로 바꾸는 등 개선방안을 마련했다.
이 같은 단일 검증체계가 시행되기 전 CSAP 인증을 받은 제품의 경우에는 유효기간을 그대로 인정한다. 검증항목도 클라우드 기술 특성에 맞게 개선해 공공 클라우드의 보안 수준은 강화하고 기업의 부담은 경감시킨다는 계획이다.
정부는 이 같은 내용을 담아 올 상반기 중 '국가 클라우드컴퓨팅 보안가이드라인' 등을 개정할 방침이다. 이후 1년간 유예기간을 거친 후 2027년 하반기부터 본격 시행에 나갈 예정이다.
이와 함께 신규 검증제도의 원활한 시행을 위해 '민관 검증심의위원회'가 검증결과의 공정성과 타당성 여부를 평가한다. 위원회는 과기정통부 추천인사 등 관계기관 및 산·학·연 전문가로 구성된다.
또 한국정보통신진흥협회(KAIT), 한국아이티평가원(KSEL), 한국시스템보증(KOSYAS) 등 기존 CSAP 평가기관은 그대로 둔다. 이들의 전문성을 새 제도에 연계해 해정의 연속성을 확보한다는 방침이다.
과기정통부는 공공 영역 보안 검증을 국정원 기준에 맞춰 단일화 함으로써 보안 신뢰성을 높이는 동시에, 민간 영역은 기업의 정보보호 관리체계인 ISMS에 클라우드 서비스 분야 자율 보안인증으로 통합 조성할 계획이다. 정부는 이번 체계 전환을 통해 인증 간 유사 보안기준을 하나로 통합해 행정 절차의 효율성을 극대화하고, 기업이 핵심 서비스 혁신에 더욱 전념할 수 있는 환경을 조성할 것으로 기대한다는 입장이다.
류제명 과기정통부 2차관은 "국정원과 협력해 부처 간 칸막이를 과감히 허물었으며 우리 기업들이 보안 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다"며 "특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여해 산업 생태계의 안정적 성장을 돕겠다"고 말했다.
김창섭 국정원 3차장은 "이번 정책으로 그간 이중규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준을 높이는데 주안점을 뒀다"며 "기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것"이라고 전했다.
