'클라우드보안인증제' 재편 파열음↑…"국정원 일원화 논의된 적 없어"
정부 차원에서 공공부문의 안전한 클라우드 도입을 위해 클라우드보안인증제(CSAP, Cloud Security Assurance Program)를 재편하는 작업에 착수한 가운데 논의 주체 간 파열음이 고조되고 있다. 그간 민간 클라우드서비스가 공공시장에 진입하기 위해서는 안전성 확보를 위해 한국인터넷진흥원(KISA)에서 인증하는 CSAP를 비롯해 국가정보원에서 주관하는 보안성 검증을 받아야 했다. 하지만 클라우드서비스가 정보보호 측면에서 안전한지 두 기관으로부터 두 차례 검증을 받아야 하다 보니 서비스 제공자의 입장에서는 '이중 부담'으로 다가왔다. 이런 문제를 해소하고자 정부 차원에서 논의에 착수했고, 조만간 방향성에 대한 가닥이 잡힐 것으로 예상된다. 국가정보원 보안성 검토는 무엇인가? 앞서 정부는 국가정보자원관리원 화재로 민간 클라우드 활성화의 필요성이 대두되자, 공공 클라우드 영역에서 공개할 수 있는 데이터를 민간 클라우드로 전환하는 작업에 착수했다. 단, 어떤 정보화 시스템이나 서비스든 일정 보안 기준(국가정보원 보안성 검토)을 충족해야만 공공 부문에 진입할 수 있다. 클라우드서비스도 마찬가지다. 국가정보원 국가정보보안기본지침에 따르면 각 공공기관은 클라우드컴퓨팅(공공 클라우드 센터 포함)을 구축·운영하고자 할 경우 '국가 클라우드 컴퓨팅 보안 가이드라인'에 명시된 보안 기준을 준수해야 한다고 명시돼 있다. '국가 클라우드 컴퓨팅 보안 가이드라인'을 보면 국가·공공기관은 정보화 사업 계획을 수립하고, 국가정보원의 보안성 검토 과정 필수로 거쳐 클라우드 컴퓨팅을 도입하도록 규정한다. 다만 민간 클라우드 컴퓨팅 서비스를 도입하고자 하는 경우에는 클라우드 컴퓨팅 서비스 도입 요건을 확인하고 절차에 따라 확인이 완료된 경우에만 서비스를 도입할 수 있다. 클라우드 컴퓨팅 서비스 도입 요건은 시스템 중요도에 따라 영역 분리 등 보안 조치를 완료하도록 하고 있다. 시스템 중요도는 다시 '상·중·하' 등급으로 나뉘는데 국가 이익이나 국민 안전과 관련된 정보를 취급하는 경우에는 상 등급, 개인정보가 포함되지 않은 비교적 중요하지 않은 데이터는 하 등급 등으로 분류되는 식이다. 국가·공공기관이 시스템 중요도 등급을 결정하면 클라우드 컴퓨팅 서비스 도입요건을 만족하는 경우에 한해 클라우드를 도입할 수 있다. 클라우드 컴퓨팅 서비스 도입을 위한 요건을 확인하는 절차는 요청 주체에 따라 두 분류로 나뉜다. 첫 번째는 사전검증이다. 공공기관이 클라우드 컴퓨팅 서비스를 도입하기 이전에 CSAP 인증 기관(한국인터넷진흥원)이 클라우드 서비스를 평가·인증한 후 증빙서류(인증서)를 준비한 채로 국가정보원에 도입 요건 확인을 요청하는 경우다. 이 경우 국가정보원은 요청서를 접수하고 별다른 절차 없이 클라우드 서비스 도입을 승인한다. 두 번째는 수요 기관이 직접 도입 요건을 확인하는 절차다. 수요 기관이 클라우드 서비스를 이미 도입·구축 완료한 후 실제 운용 이전에 보안 기준 적합 여부를 확인하는 절차인 것이다. 수요기관이 상급기관 또는 전문평가기관에 클라우드 서비스의 안전성 확인을 먼저 의뢰하고, 그 이후 국가정보원이 대상 서비스의 도입 요건 및 적합 여부에 대한 확인 절차를 수행한다. CSAP는 무엇인가? 공공 기관이 도입하는 정보화 시스템이나 장비는 보안성 검토만 받으면 되지만, 클라우드 서비스 사업자의 경우 보안성 검토 과정에서 사전 검증을 받기 위해서는 CSAP를 먼저 획득하고 다음 절차를 밟는다. 두 번째 도입 요건은 첫 번째보다 까다롭기 때문에 클라우드 사업자 사이에서는 CSAP가 사실상 필수처럼 받아들여지고 있다. 이에 보안성 검토 과정에서 CSAP까지 획득해야 하니 '이중 규제' 논란이 불거진 것이다. 논의의 중심에 있는 CSAP는 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제2조의2에 따라 클라우드서비스가 얼마나 안전한지 보장하는 인증 제도다. 2015년부터 인증 제도가 시행됐다. 과학기술정보통신부(과기정통부)가 정책을 담당하고 산하 KISA가 평가·인증을 맡는다. 이후 2023년에 등급제가 시행되며 CSAP는 한 차례 변화를 맞은 바 있다. 과기정통부는 획일적으로 운영되던 보안인증 체계를 클라우드컴퓨팅 서비스의 정보보호 수준에 따라 상·중·하 등급제로 나눠 인증 항목 숫자를 조절하는 식으로 인증 부담을 낮추려는 취지였다. 당시 과기정통부는 하 등급을 우선 시행하고, 상·중 등급의 경우에는 실증을 거쳐 추후 시행할 예정이었다. 하지만 상·중 등급을 마련하는 대신 서비스형 소프트웨어(SaaS)에 한해 '표준·간편' 등급으로 조절하는 것으로 갈음해 CSAP가 유지되고 있는 중이다. 국가정보원이 진행하는 보안성검증과 달리 클라우드서비스를 제공하려는 쪽에서 KISA에 보안인증을 신청하고, KISA가 평가해 인증을 주는 구조다. 서비스형 인프라(IaaS), 데스크톱 서비스(DaaS), 소프트웨어 서비스(SaaS) 저마다 인증 받는 방식이 다르다. KISA에 따르면 IaaS 보안인증은 총 14개 분야 116개 통제항목(보안조치)을, DaaS 인증은 총 14개 분야 110개 통제항목을 통과해야 인증을 받을 수 있다. 이들 통제 항목 외에 하등급 인증도 있는데, 하 등급은 14개 분야 64개 통제 항목을 평가한다. SaaS는 IaaS 및 DaaS와 다르다. 표준과 간편 두 등급이 있는데, 표준은 총 13개 분야 79개 통제항목이, 간편은 총 11개 분야 31개 통제항목으로 구성돼 있다. 표준과 간편 외에 하 등급도 있는데, 하 등급은 11개 분야 30개 통제항목으로 이뤄져 있다. 통제 분야는 ▲정보보호 정책 및 조직 ▲인적보안 ▲자산관리 ▲서비스 공급망 관리 ▲침해사고 관리 ▲서비스 연속성 관리 ▲준거성 ▲물리적 보안 ▲가상화 보안 ▲접근통제 ▲네트워크 보안 ▲데이터 보호 및 암호화 ▲시스템 개발 및 도입 보안 ▲국가기관의 보안 요구 사항 등을 확인한다. KISA에 따르면 CSAP를 획득했거나 현재 보유 중인 기업은 총 262곳이다. 서비스 유형별로 보면 SaaS가 237개, IaaS가 20개, DaaS가 5개다. 단 현 시점 기준 인증을 유지하고 있는 기업은 193곳이다. 인증 유지 여부 기준으로 서비스 유형별로 보면 SaaS가 187개, IaaS가 14개, DaaS 5개다. CSAP 재편 과정 중 거론되는 방안 민간 클라우드를 활성화하고, 클라우드 사업자의 이중 규제를 해소하기 위해 CSAP를 재편하는 작업이 정부 차원에서 진행되고 있다. 하지만 재편 과정을 두고 여러 추측이 오가며 갑론을박이 이어지고 있는 상황이다. 국가정보원에 정통한 관계자에 따르면 CSAP와 보안성 검증을 국가정보원 쪽으로 일원화하는 방향으로 논의되고 있다. 결론이 도출된 것은 아니지만 CSAP 공공부문과 보안성 검증을 합치는 방안이 거론되고 있는 것이다. 국가정보원이 지난해 9월 국가망보안체계(N2SF) 정식 가이드라인을 발표했던 만큼, 아직 제도화되지 않은 N2SF와 CSAP의 연계 등을 추진하고 있을 거라는 예상도 적지 않다. 다만 아직 확정된 내용은 아니다. N2SF는 국가정보원이 제시한 보안 지침으로, 기존의 물리적 망분리에서 탈피해 데이터의 중요도에 따라 C(기밀), S(민감), O(공개) 등급을 기준으로 각기 다른 수준의 보안 통제를 적용하는 체계를 말한다. "거론된 방안, 국정원 예상일 뿐…실제 논의된 바 없어" 그러나 이같은 방안은 국가정보원의 예상일 뿐, 사실 확정적으로 논의되지 않은 사항인 것으로 확인됐다. 대통령 직속 국가인공지능전략위원회 AI인프라 거버넌스·혁신 TF 위원인 김승주 고려대 정보보호대학원 교수는 지디넷코리아와 통화에서 "CSAP 인증을 비롯해 여러 보안 인증의 선진화 방향성에 대한 모든 논의는 인프라혁신TF에서 이뤄지고 있다"며 "국가정보원을 중심으로 CSAP를 일원화하는 방향은 인프라혁신 TF에서 논의된 바 없다"고 단언했다. 김 교수는 "정부 차원에서 우리 정부 시스템을 어떻게 선진국화 시킬 수 있는지 청사진을 그리는 모든 논의는 인프라혁신TF에서 이뤄지고 있다. 과학기술정보통신부, 국가정보원, 행정안전부 등 각 부처도 TF의 일원으로 포함돼 있다"면서 "TF에서 보고서를 작성해 올리면 대통령이 검토 후 정책에 반영하는 구조다. TF 차원에서 논의되고 있는 방향성에 대해 공개할 수는 없지만, 국정원 중심의 재편은 논의된 내용은 확실히 아니다"라고 거듭 강조했다. 이어 김 교수는 "CSAP 등 관련 논의를 골자로 한 보고서 작성이 현재 거의 마무리 단계다"라며 "이후 대통령실에 보고서를 올릴 예정"이라고 밝혔다. 익명을 요구한 클라우드 업체 전문가는 "이중화돼 있는 제도는 물론 N2SF의 C·S·O 등급, 보안성 검토 및 CSAP의 단계별 인증제 등 여러 제도가 혼재돼 있어 업계의 혼란이 가중되고 있는 현실이다. 이에 정부도 이런 혼선을 최소화하고자 표준 체계를 만들어 나가는 과정에 있는 것으로 안다"며 "현재 국가정보원에서 CSAP 등 보안 인증 제도를 표준화하는 작업 및 가이드라인을 제작을 새롭게 자체적으로 하겠다고 하는 상황이고, 인프라혁신TF에서는 국가정보원에서 C 혹은 상 등급에 해당하는 클라우드 서비스를 담당하고, 나머지 등급을 민간 클라우드 활성화를 위해 민간에 맡기자는 입장인 것으로 전해 들었다"고 밝혔다.
