정부가 공공 클라우드 시장 진입 절차를 단일 보안검증 체계로 통합했지만, 업계에서는 여전히 이중 인증 구조가 유지되는 것 아니냐는 지적이 나온다. 절차 간소화라는 취지와 달리 실질적인 부담 완화 효과를 두고 논쟁이 이어지는 모습이다.
20일 업계에 따르면 과학기술정보통신부(과기정통부)와 국가정보원(국정원)은 최근 공공 클라우드 서비스의 보안 검증 절차를 국정원 중심 단일 체계로 일원화하는 방안을 발표했다. 기존에는 공공기관 납품을 위해 클라우드보안인증(CSAP) 취득 이후 국정원 보안성 검토를 별도로 받아야 했지만, 앞으로는 하나의 체계로 통합된다. 중복 항목을 줄여 기업의 시간·비용 부담을 낮추겠다는 취지다.
다만 구조를 들여다보면 '완전한 단일화'로 보기는 어렵다는 평가도 있다. 민간 시장에만 진입하는 기업은 정보보호관리체계(ISMS) 기반 인증을, 공공 시장에 진입하려면 국정원 검증을 받아야 하는 구조가 유지되기 때문이다. ISMS 인증은 자율이긴 하지만 업계에서는 "인증 체계가 이원화된 틀 자체는 그대로"라는 반응이 나온다.
실제로 국가AI전략위 보안특위에서도 이 같은 점을 지적한 것으로 알려졌다. 체감상 이전과 크게 달라지지 않았다는 것이다. 사업자 입장에서는 민간과 공공을 구분하지 않고 한 번의 인증으로 시장에 진입할 수 있는 구조가 가장 이상적이라는 지적이다.
해외와 비교하면 차이는 더 뚜렷하다. 미국의 FedRAMP는 연방 차원의 통합 인증 체계를 운영하면서도, 국가안보를 담당하는 NSA가 직접 시장 인증에 개입하지는 않는다. 반면 한국은 공공은 국정원, 민간은 과기정통부 중심으로 나뉘는 구조가 유지되고 있다.
이번 개편이 완결된 형태가 아니라는 점도 변수다. 보안특위는 보안 거버넌스 전반을 선진국 수준으로 개편하기 위한 논의를 이어가고 있으며, 관련 법 개정 이후 CSAP 추가 개선도 검토하고 있다.
정부가 개편안을 서둘러 발표한 배경에는 국가 망 보안 체계인 N2SF와의 정합성 문제가 있다. 국정원은 기존 망 분리 중심 정책을 개편하고, 정보를 기밀(C)·민감(S)·공개(O)로 나누는 등급 기반 보안 체계를 도입했다. 이에 따라 CSAP 등급 체계 역시 이를 반영해 조정할 필요가 있었다는 설명이다.
업계는 진입 장벽 완화 측면에서는 긍정적으로 평가한다. 복잡한 인증 절차로 인해 길어졌던 사업 준비 기간과 비용 부담이 일정 부분 줄어들 수 있다는 기대다.
반면 보안 측면에서는 우려도 적지 않다. 정부는 공공은 국정원 기준으로 단일화하고, 민간은 정보보호 관리체계(ISMS) 중심의 자율 인증 체계로 유도할 방침이다. 이에 대해 일각에서는 자율성 확대가 기업 간 보안 수준 격차로 이어질 수 있다는 지적이 나온다. 특히 금융·의료 등 민감 정보가 오가는 분야에서는 최소 기준 유지가 과제로 꼽힌다.
국정원 중심 구조에 대한 불투명성 문제도 제기된다. 사업자들은 향후 보안성 검토 과정에서 기준과 절차를 충분히 공유받기 어렵고, 대응 과정 역시 제한될 수 있다고 우려한다. 일각에서는 이를 두고 사실상 '블랙박스 심사'가 될 수 있다는 지적도 나온다. 이에 보안특위는 국정원에 클라우드 보안인증 과정의 투명성을 높일 것을 요구한 것으로 전해졌다. 기업이 예측 가능하게 준비할 수 있도록 심사 기준과 절차를 보다 명확히 공개해야 한다는 취지다.
국가AI전략위 보안특위 위원인 김승주 고려대학교 정보보호대학원 교수는 "N2SF와 CSAP 정합성을 맞추기 위한 개선 필요성은 있지만, 기업이 두 번 인증을 받아야 하는 구조는 근본적으로 해소되지 않았다"며 "불투명성 문제 역시 여전히 과제로 남아 있다"고 말했다.
결국 이번 개편의 핵심은 효율성과 보안 사이 균형이다. 인증 절차를 단순화해 산업 활성화를 유도하면서도, 단일 체계에서 기존 수준 이상의 보안 신뢰를 확보할 수 있느냐가 관건으로 꼽힌다. 정부는 상반기 중 관련 가이드라인 개정을 추진하고, 일정 유예기간을 거쳐 2027년부터 본격 시행할 계획이다.
