공공클라우드 인증, 국정원 단일 체계로 개편한다

올해 지침 개정 후 내년 하반기 시행

게티이미지뱅크

정부가 기업의 공공 클라우드 시장 진입 시 필요한 보안 절차를 국가정보원 단일 검증 체계로 통일하기로 했다. 그 동안 공공 클라우드 시장 진입의 주요 병목으로 꼽히던 민간 클라우드의 이중 보안 규제가 완화될 전망이다.

과학기술정보통신부와 국정원은 20일 이 같은 내용을 담은 '공공 클라우드 시장 진입 절차 개선 방안'을 발표했다.

현재 민간 클라우드 서비스 기업이 공공 시장에 진출하려면 과기정통부의 클라우드보안인증(CSAP)을 먼저 취득한 뒤 국정원의 보안성 검증을 별도로 통과해야 한다. CSAP는 클라우드 컴퓨팅 서비스가 정보보호 기준을 준수하는지 여부를 평가 및 인증하는 제도다. 국정원 보안검증 역시 클라우드 컴퓨팅 서비스가 수립한 보안대책 적합성을 검증하는 절차다. 업계는 오랫동안 이를 사실상의 이중 규제로 지목하며 개선을 촉구해왔다.

이번 개편으로 기업들은 국정원 검증만 통과하면 공공 영역에 클라우드 서비스 제공이 가능할 전망이다. 검증 항목도 클라우드 기술 특성에 맞게 개편한다. 정부는 상반기 내 '국가 사이버보안 기본 지침'과 '국가 클라우드 컴퓨팅 보안 가이드라인'을 개정·공표하고, 1년 유예 기간을 거쳐 2027년 하반기 신규 검증 제도를 본격 시행할 예정이다. 새 제도에 따르면 '민관 검증심의위원회'도 설치해 검증 결과의 공정성·타당성 여부도 따진다.

기존에 운영되던 과기정통부의 CSAP제도는 의무 요건이 사라지고, 민간 기업 대상의 정보보호관리체계(ISMS) 인증의 한 분야로 통합할 예정이다. 단 기존에 받은 인증은 취득 시점으로부터 5년 동안 유효성이 인정된다.

김창섭 국정원 3차장은 "이번 정책으로 그간 이중 규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준을 높일 수 있도록 업계와 지속 소통할 것"이라고 말했다.

신혜정 기자 arete@hankookilbo.com