공공 클라우드 보안 인증, 국정원으로 일원화

팽동현 2026. 4. 20. 14:15
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

공공 클라우드 전환에 혼선을 유발해왔던 이중 보안인증 절차가 마침내 단일 체계로 개선된다.

국정원 보안정책관은 "AI 수요에 적시 대응하고 AI 행정 기반을 강화하기 위해선 클라우드 전환이 중요한 상황"이라며 "국정원과 과기정통부는 민간 클라우드를 신속하게 공공분야로 도입하되 보안성은 확보해야 함을 깊이 공감하며 정책 개편을 추진하게 됐다"고 설명했다.

닫기
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
CSAP 사실상 폐지…중복규제 개선
시행 후에도 기존 CSAP 효력 인정


공공 클라우드 전환에 혼선을 유발해왔던 이중 보안인증 절차가 마침내 단일 체계로 개선된다. 공공 사이버보안 강화와 클라우드 산업 진흥이란 두 마리 토끼를 잡으며 국가 인공지능(AI) 대전환의 토대로 자리할지 주목된다.

과학기술정보통신부와 국가정보원은 기업들의 공공 클라우드 시장 진입 시 필요한 검증절차를 국정원 단일 검증체계로 일원화하는 정책을 20일 공동 발표했다. 1년여의 유예기간을 거쳐 과기정통부의 클라우드보안인증(CSAP)을 사실상 폐지하고 국정원의 클라우드 보안검증으로 통합한다.

그동안 공공부문에선 클라우드 도입 시 클라우드법에 따라 CSAP를 획득한 서비스가 우선 고려됐으나, CSAP로 면제받는 항목 외에는 결국 국정원의 보안 검증도 마저 거쳐야했다. 이번 정책은 이를 단일 검증체계로 통합하면서 검증항목도 클라우드 기술 특성에 맞게 개선하는 게 골자다. 이로써 공공 클라우드 보안수준을 강화하면서 기업의 시간·비용 등 부담은 경감시킨다는 목표다.

정부는 올 상반기 중 ‘국가 클라우드컴퓨팅 보안가이드라인’을 개정하고 산업계 의견수렴 등을 거쳐 내년 하반기부터 새로운 클라우드 보안검증을 시행해나갈 예정이다. 단일 검증체계 시행 전까진 유예기간을 두고 CSAP 심사를 그대로 진행할 뿐 아니라, 시행 이후에도 기존에 받은 CSAP 효력과 기간을 그대로 인정하기로 했다.

국정원 보안정책관은 “AI 수요에 적시 대응하고 AI 행정 기반을 강화하기 위해선 클라우드 전환이 중요한 상황”이라며 “국정원과 과기정통부는 민간 클라우드를 신속하게 공공분야로 도입하되 보안성은 확보해야함을 깊이 공감하며 정책 개편을 추진하게 됐다”고 설명했다.

통합된 공공 클라우드 보안검증의 기반으로서 국정원 국가망보안체계(N2SF)의 현실화와 안착도 더욱 중요해졌다. 각급 기관이 시스템 내 데이터 중요도에 따라 기밀(C)·민감(S)·공개(O) 3개 등급으로 자체 분류해 적합한 보안체계를 갖추는 N2SF가 기존 CSAP의 상·중·하 3단계 등급제를 갈음하는 형태가 될 전망이다. 국정원 측은 “N2SF와 CSAP 등급 간 혼선이 있는 부분들에 대해 정합성을 맞춰갈 예정”이라 설명했다.

다만, N2SF 또한 그 복잡성과 모호함이 지적되고 있고 인력·예산 부족 문제도 있어 아직 본격적인 확산을 논하기엔 시기상조로 평가된다. 시스템 단위의 망분리 완화를 고려하는 상황에서 대상 데이터의 등급이 혼재된 경우와 같이 혼선의 여지가 남아있으므로 실증사업 등을 통한 수정·보완 필요성도 제기된다. 이번에 정책 시행까지 유예기간을 비교적 길게 책정한 이유 중 하나로 보인다.

한편 민간영역에 대해선 정보보호관리체계(ISMS)에 기존 CSAP 내용을 반영해 클라우드 서비스 분야 자율 보안인증을 추가로 조성할 계획이다. 과기정통부가 이를 위한 통합방안을 연내 마련하고, 국정원은 이번 정책 관련 운영지침과 해설서 제정 및 클라우드 보안가이드라인 개정을 내년 상반기까지 진행한다.

한 클라우드 업계 관계자는 “인증체계 단일화에 따라 보다 심플하면서도 정교해진 국가 클라우드 보안을 갖출 것으로 기대된다”면서도 “그동안 각 부처별로 목적과 시각에 차이가 있어 공공 클라우드 전환이 더뎠던 측면이 있는데, 새로운 제도 시행까지 시차도 있는 상황에서 시장이 더 경직되지 않도록 정부가 세심히 살펴주길 바란다”고 전했다.

국정원은 향후 신규 검증제도 시행 과정에서도 민간의 의견과 역량을 적극 반영한다는 입장이다. 과기정통부 추천인사 등 관계기관 및 산·학·연 전문가로 구성된 ‘민관 검증심의위원회’가 검증결과의 공정성·타당성 여부를 평가하며, 기존 CSAP 평가기관의 전문성을 새 제도에 연계해 행정의 연속성도 확보한다는 구상이다.

김창섭 국정원 3차장은 “이번 정책으로 그간 이중규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안수준를 높이는데 주안점을 뒀다”며 “기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것”이라 말했다.

류제명 과기정통부 2차관은 “국정원과 협력해 부처 간 칸막이를 과감히 허물었으며, 이를 통해 우리 기업들이 보안의 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다”며 “특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여해 산업 생태계의 안정적 성장을 돕겠다”고 밝혔다.

팽동현 기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.