정부가 공공기관의 민간 서비스형 소프트웨어(SaaS) 도입 확대를 위해 SaaS 대상 보안인증제를 개선한다. 유효 기간을 3년에서 5년으로 늘리고, 기존 등급보다 심사 항목 수가 절반 이하인 간편 등급을 신설했다.
과학기술정보통신부와 행정안전부는 공공 부문 SaaS 이용 활성화와 보안 필요성 등을 고려해 클라우드서비스 보안인증제 개선방안을 마련, 시행한다고 23일 밝혔다.
클라우드 보안인증제는 지난 2016년 7월부터 서비스형 인프라(IaaS) 대상으로 시행됐다.
지난해 8월 SaaS로 적용 범위가 확대됐다. 행정·공공기관이 보안인증을 받은 민간 SaaS를 이용할 수 있도록 해 클라우드 서비스 이용 활성화를 도모하기 위해서다.
장석영 과기정통부 정보통신정책실장은 “사이버 공격이 지능화, 다양화되는 추세에 따라 사이버 보안의 중요성을 간과하지 않는 방향에서 보안이 꼭 필요한 부분, 클라우드 서비스 이용 활성화, 기업 부담 등을 종합 검토해 마련된 내용"이라며 "국내 클라우드 서비스 사업자는 외국 클라우드 서비스 사업자가 앞선 보안 기능을 홍보하며 국내 시장 진입을 도모하는 상황에서 보안 수준을 높이기 위해 끊임없는 노력과 투자가 시급하다”고 말했다.
■인증 유효기간 2년 늘려...사후심사로 보안 대응
정부는 이번 제도 개선을 통해 클라우드 보안인증제 규제를 완화했다.
현행 3년인 보안인증 유효기간을 5년으로 확대했다. 정부는 인증 유효기간이 늘어나도 매년 사후심사를 통해 보안 조치가 가능하다고 설명했다.
기존 표준등급 외 간편등급도 신설했다. 표준등급은 78개 인증항목의 심사를 받아야 한다. 전자결재, 인사, 회계관리, 보안 서비스, 개인정보영향평가 대상 서비스 등을 제외한 서비스에 대해 간편등급을 적용할 수 있게 개선했다. 30개 인증항목만 통과하면 보안인증을 받을 수 있게 된다.
■사전 심사, 자체 취약점 점검으로 대체...인증 기간 5→3.5개월
정부는 클라우드 사업자가 수행해야 하는 행정절차를 합리화하기로 했다.
먼저 클라우드서비스 사업자가 보안인증 신청 전 받아야 했던 사전 준비기준이 사라진다. 사업자가 자체적으로 취약점 점검을 수행하며, 기준점수인 80점 이상 획득 시 기준을 통과한 것으로 간주한다.
보안운영명세서 간소화, 제출서류 정형화, 정보보호관리체계인증(ISMS) 등 타 인증제와의 중복항목도 조정, 폐지할 계획이다.
정부는 이번 행정절차 개선을 통해 인증신청 접수에서 인증 완료까지 평균 5개월의 소요 기간이 3.5개월 이내로 단축될 것으로 기대했다.
■내달 보안인증제 가이드라인 배포
정부는 현재 행정·공공기관에서 이용 중인 32개 SaaS에 대해서는 내년 말까지 보안인증 적용을 유예해 인증제 신청과 서비스 이용이 가능하도록 했다.
이번 제도 개선 방안은 지난해 8월의 대통령 주재 '데이터경제 활성화 규제혁신 현장방문' 시 제기된 규제 개선 요구사항을 반영하기 위해 7차례에 걸친 기업 대상 의견 수렴과 6차례의 관계부처 협의를 통해 마련, 시행하게 됐다.
최장혁 행정안전부 전자정부국장은 “이번 인증제도 개선으로 많은 서비스들이 신속하게 공공시장에 진입할 수 있게 될 것”이라며 “행정·공공기관에서 다양한 민간 클라우드 서비스를 활용해 전자정부 서비스의 품질을 높이는 계기가 되길 기대한다”고 밝혔다.
과기정통부와 한국인터넷진흥원은 지난 17일 13시 서울 서초구 엘타워에서 클라우드 이용자 보호 등을 위해 사업자, 유관기관 간 상호 정보공유 및 협력 강화 등을 논의하는 보안협의체 1차 회의를 개최했다.
관련기사
- '모든 IT가 클라우드 서비스로…' 전환기 과제와 해법은2019.07.23
- 카카오 개발자가 본 '요즘 클라우드 흐름' 세 가지2019.07.23
- SKT, 상용 오픈스택 버전 ’타코' 무료 공개2019.07.23
- MS, 클라우드 덕에 연매출 148조원 기록2019.07.23
다음달엔 보안인증제 신청 절차, 항목, 심사방법 등에 대해 상세 설명을 담은 가이드라인을 제작, 배포한다.
설명회, 교육, 보안 컨설팅, 보안 협의체 운영 등도 진행, 클라우드 보안인증제가 조기 정착될 수 있도록 할 계획이다.