민간 기업이 공공 클라우드 시장에 진입하기 위해 거쳐야 하는 보안 검증 절차가 국정원 단일 체계로 개편된다. 지금은 과학기술정보통신부와 국정원의 이중 인증 절차를 거쳐야 한다.
과기부와 국정원은 오는 2027년 하반기부터 이런 내용의 제도 개편을 시행한다고 20일 밝혔다. 그동안 클라우드 서비스 기업이 공공 시장에 진입하기 위해선 과기부가 시행하는 CSAP(클라우드보안인증)를 먼저 취득한 뒤에 국정원의 보안인증을 한 번 더 거치는 이중 구조였는데, 심사 기준이 일부 중복되고 비교적 과도한 기준에 심사가 지체된다는 지적을 받아왔다. 이에 정부는 국정원 단일 검증으로 체제로 개편하고 검증 기준 또한 압축적으로 줄일 계획이다. 기존 CSAP에 존재했던 보안인증 기준 중 공공 보안요건과 관련된 항목 등을 추려내고, 클라우드 기술 특성에 맞게 검증 기준을 새로 선정한다. 정부는 새 체계 도입으로 중복 검증 문제를 해소하고 검증 기준을 축소해 기업 부담이 완화될 것이라고 예상한다.
정보기관인 국정원 단일의 검증 우려를 불식하기 위해 민관 검증 심의위원회도 구성한다. 과기부 추천 인사 및 산·학·연 전문가로 검증된 심의위에선 검증결과의 공정성과 타당성을 평가할 예정이다. 정부는 이같은 내용을 포함해 올해 상반기에 ‘국가 클라우드컴퓨팅 보인 가이드라인’ 등을 개정하고, 1년간의 유예기간을 거친 뒤 2027년 하반기부터 새 제도를 본격 시행할 방침이다.
한편, 공공 클라우드 검증 체계가 개편되면서 기존 CSAP는 민간 기업 정보보호 의무 인증인 ISMS(정보보호관리체계)와 통합된다. 민간 클라우드 사업에 진출하려는 사업자는 자율적으로 ISMS 클라우드 서비스 분야 인증을 받을 수 있다.
전문가들은 심사 기준과 방식을 보다 투명하게 공개해야 한다고 지적한다. 김승주 고려대 정보보호대학원 교수는 “(지난) 국정원 보안성 검토는 담당자가 누구냐에 따라 해석이 달라지고 (검토 기준 등을) 문서로도 제공하지 않는 등 불투명했다”며 “해외처럼 평가 기준과 방법을 투명하게 공개해 기업이 예측 가능한 상태에서 인증을 대비할 필요가 있다”고 지적했다.
강재구 기자 j9@hani.co.kr, 선담은 기자 sun@hani.co.kr