[기고] 공공 클라우드 보안검증 일원화, 이제 '방법' 바꿀 때
공공 클라우드 보안검증 절차가 지난 20일 많은 우려에도 불구하고 국가정보원 단일 체계로 정리됐다. 클라우드보안인증(CSAP)과 국정원 보안성 검증이라는 이중 절차를 하나로 합치고, 기존 CSAP 민간 영역 규범은 ISMS·ISMS-P에 모듈화해 자율 인증으로 전환하며, 새 제도는 1년 유예를 거쳐 2027년 7월부터 본격 시행된다는 내용이다. 필자는 2022년 디지털플랫폼정부위원회 시절 국장으로 재직하며 국정원 보안성 검토 제도에 대해 매뉴얼화와 예측가능성, 투명성 확보를 반복해 요구해 왔다. 그러나 그 요구는 충분히 수용되지 않은 채 현재의 체계가 이어졌다. 절차 일원화는 필요했던 방향이지만 보안 중심 기관으로의 일원화가 자칫 심사 블랙박스화로 이어져 인공지능(AI)과 클라우드 확산에 역행하지 않을까 하는 우려를 지우기 어렵다. 이번 개편 실체는 세 가지로 요약된다. 검증 주체 단일화와 등급 체계 정리, 민관 검증심의위원회 신설과 세부 검증 항목 대외 공개. 모두 의미 있는 거버넌스 재편이다. 국정원은 "기준과 절차는 국정원이 운영하되 구체적인 심사와 평가 결과는 민간 전문가가 참여하는 위원회에서 자율적으로 판단할 것"이라고 설명했고, 2027년 상반기엔 검증제도 운영 지침과 해설서를 제정해 공개할 예정이라고 밝혔다. 과거와 비교하면 분명한 진전이다. 문제는 그다음이다. 심사 방법 자체에 대한 언급은 아쉽게도 보이지 않는다. '자동화', '지속 검증', '머신 리더블 증거' 같은 키워드는 이번 발표에 포함되지 않았다. 대통령 직속 국가인공지능전략위원회 산하 보안특별위원회도 "이번 발표는 현행법 체계 안에서의 최선 대안이지만 완성형은 아니며 향후 법 개정을 통해 체계가 다시 변할 수 있다"고 밝힌 바 있다. 즉 이번 개편은 '과도기적 안정' 성격이 짙다. 남은 시간 동안 채워야 할 공백이 분명히 있다는 뜻이다. 보안성 검토의 실제를 들여다보면 일원화만으로 문제가 풀리지 않는 이유가 드러난다. CSAP를 통과한 기업도 추가 보안성 검토에서 무엇을 어떤 기준으로 충족해야 하는지가 명확하게 공개되지 않는다. 심사 과정에서 드러나는 요구사항을 사후적으로 맞춰가는 관행이 반복된 이유다. 이건 개별 담당자의 역량 문제가 아니다. 보안성 검토라는 제도가 애초에 사례별, 서술 중심, 점(點) 단위 심사로 설계된 탓이다. 단순한 공개 그 자체로는 이 구조가 바뀌지 않는다. 무엇을 공개하는가보다 어떤 형식으로 기준이 정의되는가가 더 중요하다. 이번 개편 이후엔 과학기술정보통신부 CSAP가 제공해 오던 일정 수준 예측가능성이 단일 주체 재량적 판단에 더 의존하게 될 가능성이 있다. 민관 검증심의위원회가 공정성과 타당성을 평가한다고는 하지만, 그 평가가 서술형 문서나 측정 가능한 지표 심사 위에서 이뤄지는지는 명시되지 않았다. 후자가 아니라면 그간 폐쇄성을 감안할 때 위원회가 실효적으로 다루기 어려운 영역이 적지 않을 것으로 본다. 미국 연방 위험 및 승인 관리 프로그램(FedRAMP) 역시 지난 10여 년간 이중 규제, 긴 인증 기간, 문서 중심 심사라는 동일한 문제를 안고 있었다. 2025년 FedRAMP가 내놓은 답은 주체의 재편이 아니라 방법론의 근본적 전환이었다. 그 결과물이 FedRAMP 20x다. FedRAMP 20x 핵심은 '자동화'다. FedRAMP는 20x를 자동화 기반 평가·검증 접근법으로 공식 규정하며 작년 8월 GSA는 이 프로그램 전환을 과정 중심 컴플라이언스에서 결과 중심 보안으로의 이동이라고 정리했다. 2022년 말 제정된 연방 클라우드 보안 인증 제도 법안(FedRAMP Authorization Act)은 GSA에 보안 평가·검토의 자동화 수단을 확립할 법적 의무를 부과했다. 20x는 그 이행 차원이다. 사람이 정리하고 사람이 읽는 구조에서 시스템이 증명하고 시스템이 검증하는 구조로의 재설계다. FedRAMP 20x 자동화는 세 요소가 맞물린다. 우선 핵심 보안 지표(KSI)다. NIST SP 800-53의 325개 통제 항목을 로우 56개, 모더레이트 61개의 측정 가능한 지표로 재설계했다. 기업이 서술하는 대신 시스템이 실시간 데이터로 보안 상태를 내보내는 구조다. 보안 통제 머신 리더블 표준(OSCAL)은 인증 기관과의 접점을 표준화해 자동화가 기업 내부에서 끊기지 않도록 한다. FedRAMP는 2025년 Rev5 인증 100건 이상 중 OSCAL 제출이 단 한 건도 없었다는 사실을 확인하고 2027년 9월까지 완전 전환을 의무화했다. 지속 검증도 필요하다. 2단계 파일럿은 KSI의 70% 이상을 자동 검증으로 요구한다. 1년에 한 번 심사하는 구조가 아니라 시스템이 상시 보안 상태를 출력하는 구조다. KSI, OSCAL, 지속 검증 중 하나라도 빠지면 자동화는 완성되지 않는다. 성과는 숫자로 나타나고 있다. GSA는 2025년 8월 기준 평균 인증 기간을 12개월 이상에서 약 5주로 단축했다고 공식 발표했다. 2025년 전체 인증 건수는 144건으로 전년도 49건의 3배 가까운 수준이다. 초기 인증 비용도 기존 50만~100만달러에서 14만5000~18만달러 수준으로 낮아진 것으로 업계는 보고한다. 자동화라는 단일 철학이 비용·속도·처리량 세 지표에서 동시에 성과로 돌아온 것이다. 미국과 한국이 올해 진행한 개편은 같은 문제의식에서 출발해 다른 방향으로 갔다. 미국은 방법을 바꿨고 한국은 주체를 바꿨다. 이 차이가 2027년 7월 이후 공공 클라우드 시장에 어떻게 나타날지를 생각해 보면 그림이 그려진다. 국내 CSP는 여전히 수 개월짜리 서류 기반 심사를 거쳐야 하고 공공 고객은 여전히 점 단위 인증서를 기준으로 도입을 결정한다. 외산 CSP 진입 조건은 결국 단일 주체의 재량적 판단에 따르게 된다. 기업 서비스 업데이트 속도는 인증 체계의 속도에 묶이고 빠르게 변화하는 클라우드 네이티브 서비스와 AI, 서비스형 소프트웨어(SaaS)는 공공 시장 진입을 뒤로 미루게 된다. 업계가 체감하는 변화가 '두 기관을 거쳐야 했던 불편'이 '한 기관의 불투명한 판단에 전적으로 의존하는 불편'으로 대체되는 정도에 그칠 수 있다는 점을 직시해야 한다. 동시에 정부가 추진하는 민간 클라우드 정부리전 방향성과 이번 개편의 정합성도 다시 점검해 볼 필요가 있다. 물론 국정원 의지에 따라 이번 일원화가 긍정적 방향으로 흘러갈 여지도 있고 일원화 자체가 필요했던 부분도 분명 있다. 다만 일원화만으로 문제 해결은 만만치 않다. 보안특위 역시 "향후 법 개정을 통해 체계가 다시 변할 수 있다"고 언급한 만큼 이 15개월은 단순한 이행기가 아니라 다음 단계를 설계할 시간으로 쓰여야 한다. 2027년 7월 시행까지 약 15개월. 이 시간을 가이드라인 문구를 다듬는 데 쓸 것인지, 인증 체계를 자동화 기반으로 재설계하는 데 쓸 것인지에 따라 방향이 크게 달라진다. 우리도 민간 클라우드 정부 리전으로 가야 한다면 미국 경로를 따라가도 된다. 남은 15개월 동안 한국이 해야 할 일은 분명하다. 기존 117개 검증 항목을 N²SF 등급에 대응하는 한국형 KSI로 재설계하고 OSCAL 한국 프로파일을 공식 채택해야 한다. 독자 포맷을 만들 이유가 없으며 국내외 CSP 모두 비용을 낮출 수 있다. 기준의 형식도 바꿔야 한다. 국정원이 지침·해설서를 공개하기로 한 것은 진전이지만 관건은 그 기준이 서술형인가 측정 가능한 지표형인가다. 비공개는 보안 장치가 아니라 예측가능성을 빼앗는 장치다. 기술 인프라도 뒤따라야 한다. CSP가 공공기관에 보안 상태를 실시간 제공할 수 있는 지속 검증 API 표준이 필요하다. 그리고 시행 전에 국내 CSP·SaaS 기업 대상 공개 파일럿을 빠르게 시작해야 한다. 1년 유예는 적응 기간이 아니라 방법론을 함께 설계할 시간이어야 한다. 이 프레임 안에서 민관 검증심의위원회 역할도 재정의될 수 있다. 개별 기업 검증 결과를 사후에 심의하는 것을 넘어 KSI 카탈로그와 OSCAL 프로파일, 지속 검증 API 표준을 지속적으로 개정하는 표준 거버넌스 기구로 자리 잡는 것이다. 앞으로 인공지능전략위 보안특위와 새로 꾸려질 민관검증심의위 전문가들이 더 치밀한 설계로 이 과제를 채울 것이다. 국정원이 이번 일원화와 세부 검증 항목 공개를 계기로 투명하고 예측 가능하며 기술 변화에 빠르게 대응할 수 있는 체제를 구축해 주기를 희망한다. 일원화 자체는 필요했다고 인정하더라도 문제는 일원화 이후다. 주체를 단순화하는 것만큼, 아니 그 이상으로 방법을 현대화하는 일이 내년 7월까지 우리 앞에 놓인 숙제다.
