클라우드 보안인증 등급제 본격 시행..."외교·안보는 외부 네트워크 차단해야"

과기정통부, 클라우드 보안인증 고시 개정안 행정 예고
작년 1월 하 등급 시행 이어 상·중 등급 기준 마련
공공 부문에 클라우드 시스템을 도입할 때 보안 수준에 따라 상·중·하 등급을 부여하는 클라우드 보안인증(CSAP) 등급제가 본격적으로 시행된다. 지난해 하 등급을 우선 시행한 데 이어 이번에 상·중 등급에 대한 평가 기준을 마련했다.

과학기술정보통신부는 클라우드 보안인증 등급제의 상·중 등급 평가 기준이 반영된 클라우드컴퓨팅서비스 보안인증에 관한 고시 일부 개정안을 오는 26일까지 행정 예고한다고 6일 발표했다.클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공 서비스를 혁신하고 클라우드 산업의 경쟁력을 강화하기 위해 작년 1월 도입됐다.

상 등급은 민감정보를 포함한 시스템이나 행정 내부 업무 시스템이 해당한다. 중 등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템이다.

과기정통부는 당시 등급별로 보안인증 평가 기준을 차등화해 상 등급은 기존 평가 기준을 강화하고 중 등급은 현행 유지, 하 등급은 완화하는 것으로 발표했다. 하 등급 보안인증 평가 기준이 담긴 고시를 개정하면서 하 등급을 먼저 시행했고 상·중 등급은 관계 부처와 실증·검증을 거쳐 평가 기준을 마련하기로 했다.과기정통부는 민간 클라우드 이용 환경에 대한 보안성을 검증했다. 행정 내부 시스템을 민간 클라우드로 전환한 실증환경을 구축하고, 이를 대상으로 실시한 국가정보원의 보안 진단 결과를 반영해 상·중 등급 평가 기준을 마련했다.

상 등급은 안보, 외교 등 국가 중대 이익, 행정 내부 업무 등을 운영하는 상 등급 시스템의 업무 중요도와 시스템 규모를 고려해 외부 네트워크 차단, 보안감사 로그 통합관리, 계정 및 접근권한 자동화, 보안패치 자동화 항목 등 4개 평가항목을 신설했다.

중 등급은 추가하는 항목은 없지만, 점검 내용을 명확히 하기 위해 시스템 격리, 물리적 영역 분리 평가항목을 일부 수정했다. 상·중 등급이 시행되더라도 기존에 인증받은 사업자들이 제도 개편으로 겪는 혼란과 불편을 최소화하기 위해 유효기간 내에서는 중 등급을 인정한다.클라우드 사업자의 부담 해소를 위한 제도개선도 추진한다. 인증 평가 시 의무적으로 받아야 하는 취약점 점검은 평가기관이 직접 점검하는 방식뿐만 아니라 외부 전문기관이 점검하는 방식 등도 허용하기로 했다. 동일 서비스에 대해 2개 등급 이상 평가를 받을 경우 중복 평가항목은 생략하고 수수료 할인 폭도 확대했다. 중소·중견 기업의 부담을 덜기 위해 수수료 지원도 강화한다.

업계에선 상·중 등급에 대한 기준이 나오면서 공공 부문의 클라우드 전환 사업도 속도가 빨라질 것으로 보고 있다. 한 업계 관계자는 “주요 공공 시스템에 대한 클라우드 보안인증 기준이 나온 만큼 공공 클라우드 사업이 늘어날 것으로 예상한다”고 설명했다.

아마존웹서비스(AWS), 마이크로소프트, 구글클라우드 등 외국계 클라우드 업체가 상·중 등급의 사업을 맡기는 어려울 전망이다. 특히 상 등급은 외부 네트워크를 차단하는 프라이빗 클라우드 도입을 강제하고 있다. 외국 클라우드 업체들은 지난해 CSAP 하 등급 인증을 신청했지만, 국정원 인증 요구를 넘지 못해 아직 절차가 진행 중인 것으로 알려졌다.과기정통부 관계자는 “클라우드 보안인증 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역이 시스템 중요도에 따라 상중하 등급으로 나눠지고 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다”며 “본격적인 민간 클라우드 활용에 앞서 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증해 이용기관의 보안에 대한 우려를 불식시키고 클라우드 제공 사업자의 전반적인 보안 수준을 높이는 데 역할을 다하겠다”고 설명했다.

이승우 기자 leeswoo@hankyung.com