과학기술정보통신부와 국가정보원은 공공 부문의 클라우드 서비스 도입 시 필요한 보안 검증 절차를 국정원 중심의 단일 체계로 일원화하는 정책을 공동 발표했다.

그동안 클라우드 서비스 기업이 공공 시장에 진입하기 위해서는 과기정통부의 ‘클라우드 보안인증(Cloud Security Assurance Program, CSAP)’을 취득한 뒤 국정원의 별도 보안 검증을 다시 거쳐야 해 기업의 부담이 크다는 지적이 이어져 왔다. 정부는 이러한 이중 절차를 개선해 공공 클라우드 보안 수준은 유지하면서도 기업의 행정 부담을 줄이는 방향으로 제도를 개편하기로 했다.

CSAP는 클라우드 서비스 사업자가 제공하는 서비스가 정보보호 기준을 충족하는지 평가·인증하는 제도로, 공공 분야 진입의 필수 요건으로 운영돼 왔다. 정부는 단일 검증 체계가 시행되기 전 이미 CSAP 인증을 받은 제품에 대해서는 기존 유효기간을 그대로 인정하고, 검증 항목도 클라우드 기술 특성에 맞게 조정해 실효성을 높일 계획이다. 이를 통해 공공 클라우드의 보안 수준은 강화하면서도 기업의 중복 투자와 절차적 부담을 줄이겠다는 방침이다.

정부는 이러한 내용을 반영해 올해 상반기 중 ‘국가 클라우드컴퓨팅 보안 가이드라인’을 개정하고, 약 1년의 유예기간을 거쳐 내년 하반기부터 새 제도를 본격 시행할 예정이다. 또 제도 운영의 공정성과 전문성을 확보하기 위해 과기정통부 추천 인사를 포함한 관계기관, 산업계, 학계, 연구계 전문가로 구성된 ‘민·관 검증심의위원회’를 설치해 검증 결과의 타당성을 심의하도록 했다. 기존 CSAP 평가기관의 전문성도 새 체계에 연계해 행정의 연속성을 유지한다.

이밖에도 과기정통부는 공공 영역의 보안 검증을 국정원 기준으로 단일화하는 한편, 민간 영역에서는 기업 정보보호 관리체계(ISMS)에 클라우드 서비스 분야의 자율 보안인증을 통합하는 방향으로 제도를 정비할 계획이다. 이를 통해 유사한 보안 기준을 하나로 통합, 인증 절차의 효율성을 높이고 기업이 핵심 서비스 개발과 혁신에 집중할 수 있는 환경을 조성할 것으로 기대된다.

류제명 과기정통부 2차관은 “부처 간 칸막이를 과감히 허물어 기업들이 보안 규제를 보다 쉽게 넘을 수 있도록 지원하겠다”며 “기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 충분히 부여해 산업 생태계의 안정적 성장을 돕겠다”고 밝혔다. 김창섭 국정원 3차장은 “이번 정책은 기업들이 겪어온 이중 규제 문제를 해소하면서도 공공 클라우드 보안 수준을 강화하는 데 중점을 두었다”며 “업계와 지속해서 소통해 제도가 안정적으로 안착하도록 하겠다”고 말했다.