공공 클라우드 ‘이중 문턱’ 사라진다…내년 7월부터 국정원 단일 검증

[서울=뉴시스]심지혜 기자 = 내년 7월부터 공공 클라우드 시장 문턱이 확 낮아진다. 그동안 기업들이 공공기관에 클라우드 서비스를 제공하기 위해선 과학기술정보통신부와 국가정보원 등 2곳의 정부기관으로부터 이중으로 보안 검증 절차를 거쳐야 했는데, 국가정보원 단일 체계로 통합된다. 기업들은 한번의 절차가 거치면 되기 때문에 행정 비용 부담이 크게 줄어들 전망이다.

과학기술정보통신부와 국가정보원과 공공기관용 클라우드 보안 검증 체계를 하나로 합친다고 20일 밝혔다.새로운 단일 체계는 1년의 준비 기간을 거쳐 내년 7월부터 본격 시행된다.

 그동안 클라우드 기업이 공공 시장에 진출하려면 두 곳의 관문을 통과해야 했다. 먼저 과기정통부의 CSAP를 먼저 따고, 이후 국정원의 보안 적합성 검증을 또 받아야 했다.

이 과정에서 비슷한 항목을 중복해서 검사받다 보니 기업들은 막대한 행정 비용과 시간을 써야 했다.

앞으로는 공공 보안 요건 검증을 국정원으로 일원화한다. 기존 CSAP 인증 가운데 공공 시장 진입에 필요한 공공 보안 요건이 국정원 검증체계로 이관돼 앞으로는 국정원 기준만 충족하면 곧바로 공공기관에 서비스를 공급할 수 있게 된다.

새롭게 적용되는 국정원 검증의 유효기간은 기존과 동일하게 5년간 인정된다. 단일 검증체계가 시행되기 전 CSAP 인증을 받은 제품에 대해서는 유효기간을 그대로 인정하기로 했다.

민간 영역의 보안 인증도 효율적으로 바뀐다. 기존의 복잡한 CSAP 체계 대신, 이미 널리 쓰이는 ‘ISMS(정보보호 관리체계)’에 클라우드 특화 항목을 추가하는 방식으로 개편된다.

쉽게 말해 개인정보 보호 기능을 추가한 인증인 ISMS-P처럼 기존 ISMS에 클라우드 관련 보안 기준을 덧붙이는 구조다.

이 인증은 기업이 필요에 따라 선택적으로 참여하는 ‘자율 인증’ 방식이다. 정부는 국제 표준에 맞춰 제도를 정비해 우리 기업들의 글로벌 경쟁력도 높일 계획이다.

정부는 검증 체계 개편을 위해 올 상반기 중 '국가 사이버보안 기본지침'과 '국가 클라우드컴퓨팅 보안 가이드라인' 등을 개정하고 산업계를 대상으로 검증제도 운영에 대한 의견을 수렴할 계획이다. 클라우드 보안인증의 ISMS 통합방안은 올해 말까지 마련한다.

이후 내년 상반기까지 신규 검증제도 운영지침과 해설서 제정, 보안 가이드라인 추가 개정 등을 통해 제도 시행 준비를 마무리할 예정이다.

국정원은 신규 검증제도의 원활한 시행을 위해 과기정통부 추천인사 등 관계기관 및 산학연 전문가로 구성된 '민간 검증심의위원회'를 운영하기로 했다.

국정원은 제도에 관한 기준이나 절차만 운영하고 구체적인 인증 심사나 심사 평가 결과에 대한 공정성·타당성 여부는 위원회가 판단하도록 할 계획이다. 이는 국정원이 직접 심사까지 수행할 경우 절차가 경직되거나 심사 기간이 길어질 수 있다는 우려를 고려한 조치다. 국정원은 이를 통해 인증 기간 단축은 물론 비용도 줄어들 것으로 보고 있다.

이와 함께 기존 CSAP 평가기관을 신규 검증제도 평가기관으로 활용해 행정의 연속성도 확보한다는 방침이다.

신규 제도는 1년간의 유예 기간을 거쳐 내년 7월부터 본격 시행한다. 이전까지는 현행 체계에 따라 인증을 받으면 된다.

류제명 과기정통부 2차관은 "국정원과 협력해 부처 간 칸막이를 과감하게 허물었으며, 이를 통해 우리 기업들이 보안의 문턱을 빠르게 넘을 수 있도록 지원하겠다"고 밝혔다.

김창섭 국정원 3차장은 "이번 정책으로 그간 이중규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준을 높이는데 주안점을 뒀다"며 "기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것"이라고 했다.


◎공감언론 뉴시스 [email protected]