공공클라우드 인증, 국정원으로 단일화...CSAP 10년만에 해체
기업이 공공 클라우드 시장 진입시 필요한 검증절차를 정부가 국정원 단일 검증체계로 일원화했다. 현재는 과기정통부(민간)와 국정원(공공) 두 곳이 이를 담당하고 있다. 이를 '국정원 클라우드 보안검증'으로 일원화했다. 새 제도는 오는 2027년 7월부터 시행한다. 앞서 국정원은 올 상반기중 관련 지침(국가 정보보안 기본지침과 국가 클라우드컴퓨팅 보안 가이드라인)을 개정한다. 새 제도를 시행하면 과기정통부가 민간 기업을 대상으로 지난 10년간 운영해온 클라우드보안인증(CSAP,Cloud Security Assurance Program)은 역사속으로 사라진다. CSAP는 현재 4개의 규범(별표)으로 이뤄졌다. 이중 1~3 규범(공식명칭 별표 1~3, 일명 공통 보안요건)이 과기정통부가 관할하는 민간 대상 보안 규정인 ISMS(Information Security Management system)에 녹아들어가고, 4규범(공식명칭 별표4, 일명 공공 보안요건)은 국정원의 새 '클라우드 보안검증'과 합쳐지면서 없어진다. (기사 하단에 설명) 외형상 단일 검증체계로 바뀌는 이번 조치를 두고 산업계는 기대와 함께 "과기정통부가 전담하던 CSAP 인증을 공공과 관련있는 조항이 산업 진흥과 거리가 있는 국정원에서 맡게 됐다"며 우려 목소리도 냈다. 20일 과학기술정보통신부(과기정통부)와 국가정보원은 기업의 공공 클라우드 시장 진입시 필요한 검증절차를 국정원 단일 검증체계로 일원화하는 정책을 공동으로 발표했다. 그동안 클라우드 서비스 기업이 공공 시장에 진입하려면 과기정통부의 CSAP(클라우드보안인증)를 먼저 취득한 후 국정원의 '보안검증'도 거쳐야 했다. 이를 단일 검증체계로 바꿨다. CSAP는 클라우드컴퓨팅서비스 사업자가 제공하는 서비스에 대해 정보보호 기준의 준수여부를 평가 및 인증하는 제도로 과기정통부가 주관하고 있고, '보안검증'은 클라우드컴퓨팅 서비스에 대해 수립한 보안대책의 적합성을 국정원이 검증하는 절차다. 정부는 올 상반기 중 '국가 클라우드컴퓨팅 보안가이드라인' 등을 개정, 1년간 유예기간을 거쳐 2027년 7월부터 새 제도를 시행할 예정이다. 특히, 새 제도가 시행되기 전 CSAP 인증을 받은 제품은 현재의 유효기간(5년)을 그대로 인정하기로 했다. 예컨대, 2027년 6월 CSAP 인증을 받으면 국정원이 관할하는 클라우드 보안검증을 5년간 받지 않아도 되는 것이다. 국정원은 "검증항목을 클라우드 기술 특성에 맞게 개선하겠다. 공공 클라우드 보안 수준은 강화하고 기업의 부담은 경감시킬 것"이라면서 "ISMS-P 등 유사 보안인증과 중복되는 항목은 검증시 면제해 줄 방침'이라고 밝혔다. 정부는 새 제도의 원활한 시행을 위해 과기정통부 추천인사 등 관계기관 및 산·학·연 전문가로 구성한 '민관 검증심의위원회'를 구성, 검증결과의 공정성·타당성 여부를 평가할 계획이다. 또 현 CSAP 평가기관 3곳(한국정보통신진흥협회(KAIT), 한국아이티평가원, 한국시스템보증)의 전문성을 새 제도와 연계, 행정의 연속성도 확보할 방침이라고 덧붙였다. 한편, 과기정통부는 현재 기업을 대상으로 운영고 있는 정보보호 관리체계인 ISMS(정보보호 관리체계)에 CSAP 해체로 이관되는 민간 대상의 1~3 규범을 통합, 자율 보안인증으로 운영한다. 즉, 기존 ISMS 인증을 의무적으로 받아야 하는 대상(주요 정보통신서비스 제공자, IDC 사업자 등)이 새로 합쳐지는 CSAP 1~3 규범을 의무적으로 받아야 하는 것이 아닌, 자율 규정으로 운영한다는 것이다. 이와함께 이관을 계기로 국제표준(ISO와 IEC) 등 민간 분야에 적합한 기준을 마련할 계획이다. 과기정통부는 "이번 체계 전환을 통해 인증 간 유사 보안기준을 하나로 통합해 행정 절차의 효율성을 극대화하고, 기업이 핵심 서비스 혁신에 더욱 전념할 수 있는 최적의 비즈니스 환경을 조성할 것으로 기대한다"고 밝혔다. 류제명 과기정통부 2차관은 "국정원과 협력해 부처 간 칸막이를 과감히 허물었으며, 이를 통해 우리 기업들이 보안 문턱을 쉽고 빠르게 넘을 수 있게 지원하겠다"며 "특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여해 산업 생태계의 안정 성장을 돕겠다"고 밝혔다. 김창섭 국정원 3차장은 "이번 정책으로 그간 이중규제로 불편을 겪어온 기업의 애로사항을 해결하되 공공용 클라우드의 보안 수준를 높이는데 주안점을 뒀다"며 "기업의 부담을 완화하는 방향으로 안착할 수 있게 업계와 지속적으로 소통할 것"이라고 말했다. ◆ 해체되는 CSAP는 무엇? 클라우드 보안인증제도(CSAP)는 민간 클라우드 서비스의 안전성을 검증하는 제도다. 기업이 클라우드로 공공시장에 들어가려면 필수로 받아야한다. 과학기술정보통신부가 정책을 총괄하고 한국인터넷진흥원(KISA)이 평가를 전담하고 있다. 공공기관이 안심하고 민간 클라우드를 도입할 수 있게 보안 요건을 객관적으로 검증, 인증을 준다. '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률' 제23조 제2항에 근거를 뒀다. CSAP는 국내 클라우드산업 발전에 맞춰 개선돼왔다. 즉, 2016년 4월 서비스형 인프라(IaaS)를 대상으로 처음으로 인증이 시작됐고, 이어 2018년 7월 서비스형 소프트웨어(SaaS) 인증이, 2020년 11월 서비스형 데스크톱(DaaS) 인증 기준이 각각 마련, 시행됐다. 2023년에는 데이터 중요도에 따라 보안 수준을 차등화한 '상·중·하 3등급제'가 도입, 현재의 CSAP 기틀을 완성했다. 세부 인증 항목 수효는 클라우드 서비스 종류에 따라 다르다. IaaS가 116개, SaaS가 79개, DaaS가 110개의 검증 항목을 통과해야 한다. 평가 영역은 정책과 인적 보안을 다루는 관리적 보호조치, 데이터센터 시설을 점검하는 물리적 보호조치, 가상화 보안과 네트워크 분리를 검증하는 기술적 보호조치로 나뉜다. 특히 등급별로 차등 적용되는 망 분리 요건은 공공 클라우드 시장 진입을 결정짓는 핵심 잣대로 꼽힌다. 인증 절차는 신청부터 발급까지 수개월이 걸린다. KISA의 서면 및 현장 실사를 통해 보안 정책 이행 여부를 확인하며, 발견된 결함은 모두 보완해야 인증서가 발급된다. 인증 유효기간은 5년이다. 하지만 매년 사후 심사를 통해 보안 수준을 유지해야 한다. 4개 규범으로 구성...'별표4'가 국정원으로 이관 CSAP는 아래와 같은 4개의 규범(정식 명칭 별표)으로 이뤄져 있는데, 이중 별표4가 국정원 클라우드 보안검증에 통합된다. 별표4는 공공과 관련있는 조항들이다. 1~3 발표는 현 과기정통부의 ISMS와 결합, 의무가 아닌 자율인증으로 바뀐다. ▲별표 1(관리적 보호조치, 클라우드 서비스 운영 조직 관리체계. 예컨대, 정보보호 정책 조직 및 책임, 인력 보안, 자산관리, 접근권한 관리, 사고 대응 감사 및 점검) ▲별표 2(물리적 보호조치, 데이터센터 및 물리 환경 보호. 예를들어 출입통제 보호구역 설정, CCTV 전원·환경 보호 장비 반출입 통제, 즉 클라우드 인프라 물리보안 영역) ▲별표 3(기술적 보호조치, 시스템·네트워크·계정·암호화 등 기술통제. 예를들어 인증 및 접근통제, 네트워크 보안, 시스템 보안, 로그관리, 취약점 관리, 악성코드 대응, 암호화 등 실제 보안엔지니어링 핵심 영역) ▲별표 4(국가기관 등이 이용하는 클라우드컴퓨팅서비스 보호조치로 공공기관 대상 추가 요구사항. 예를들어 데이터 위치 통제, 관리자 접근 제한, 망분리 요구, 위탁관리 제한, 외국인 접근 통제, 로그 관리 강화, 침해사고 대응 강화)
