정부가 공공 기관의 민간 클라우드 이용 확대를 위해, 클라우드 보안인증제(CSAP)를 개선한다. 시스템 중요도에 따라 등급을 나누고, 차등화된 보안인증기준을 적용하는 것이 골자다. 보안 위험이 상대적으로 낮은 경우 현행보다 완화된 보안기준을 적용해, 클라우드 사업자의 인증 부담을 낮춘다는 계획이다.
과학기술정보통신부는 18일 제5회 국정현안점검조정회의에서 이 같은 내용이 포함된 '정보보호 규제개선 추진상황 및 계획'을 발표했다고 밝혔다.
이번 규제 개선으로 CSAP 인증에 등급제가 도입된다. 현재 CSAP는 클라우드 인프라의 물리적 망분리 등 까다로운 요건을 모두 갖춰야 부여된다. 클라우드를 도입하는 시스템에 상관 없이 획일적으로 높은 수준의 보안 체계를 요구하고 있어, 클라우드 사업자들의 공공 시장에 진입을 어렵게 하는 요인으로 지적됐다. 특히 아마존웹서비스(AWS), 마이크로소프트 애저 등 외산 클라우드 업체들이 문제를 강하게 제기해 왔다.
이에 클라우드로 사용될 시스템의 중요도 기준으로 3등급 구분하고, 사이버 안보가 저해되지 않도록 등급별로 차등화된 보안인증기준을 적용하는 방식으로 인증체계가 변경된다. "국가기관 등에서 혁신적, 효율적 민간 클라우드 이용이 확대될 수 있도록 한다"는 게 정부가 설명하는 이번 제도 개선의 목표다.
등급제가 도입에 따라 클라우드 보안인증의 평가기준도 보완・완화된다. 민감정보 등을 다루는 클라우드에 대해서는 보안성을 높이고, 보안 위험이 상대적으로 낮은 공개데이터를 다루는 클라우드에 대해서는 부담을 완화한다는 게 큰 줄기다. 세부적인 방안은 디지털플랫폼정부위원회와 관계기관 등이 협업해 산학연관 등 이해관계자 의견 수렴을 거쳐 마련할 계획이다.
이날 CSAP 이외에도 ▲정보보호제품 보안인증제에 신속확인제 도입 ▲무선영상전송장비 시험인증 서비스 실시 ▲보안처리가 필요한 위성영상 기준 완화 등의 보안 규제 개선이 함께 결정됐다.
■보안인증제에 패스트트랙 추가...웨어러블 기기에 대한 보안 기준도 마련
정보보호제품 보안인증제에는 신속확인제(패스트트랙)가 추가된다. 그간 공공 분야에 정보보호제품 도입 시 평가기준이 있는 20여종만 도입이 가능하고, 기준이 없는 신기술 및 융·복합 제품은 기준 개발 및 평가에 장시간 소요되어 급변하는 사이버위협 대응에 어려움이 있었다.
이에 기존 보안인증(CC인증, 보안기능확인서, 성능평가) 기준이 없는 신기술 및 융·복합 제품이 공공 시장에 신속하게 공급할 수 있도록 신속확인제 도입을 추진한다.
신속확인제 신청 기업은 정보보호 전문서비스 기업으로부터 취약점 점검 및 소스코드 보안약점 진단을 받아 보완 조치를 완료하고, 신속확인심의위원회의 보안성 심사를 통과하면 된다. 유효기간은 2년마다 연장할 수 있으며, 향후 보안인증 기준이 마련되면 정식인증을 받아야 한다. 외교·국방 등 민감한 기관을 제외한 수요기관이 신속확인을 받은 제품을 도입할 수 있도록 보안적합성 검증체계도 개선될 예정이다.
그동안 보안인증 기준이 없어 공공기관 도입이 어려웠던 웨어러블캠 등 무선영상전송장비에 대한 시험항목이 마련된다. 과기정통부와 한국정보통신기술협회는 41개 보안인증 시험항목을 마련하고, 오는 22일부터 보안인증 시험을 실시한다.
■보안처리 필요한 위성영상 해상도 4m→1.5m로 완화
국내 위성 영상 보급을 방해했던 위성영상 보안규제도 개선된다. 보안처리가 필요한 위성영상 해상도 기준을 현행 4m에서 1.5m로 대폭 완화해, 국가 위성으로 촬영한 위성영상의 신속한 배포를 지원할 예정이다.
관련기사
- 김민준 오케스트로 총괄대표 "글로벌 클라우드 생태계 마에스트로 될 것"2022.08.04
- 오케스트로-넥스클라우드, 공공·금융 시장 클라우드 네이티브 확산 협력2022.07.21
- 한국 주도 SaaS 품질모델, 국제기술규격 제정2022.07.12
- "클라우드 도입 고민 해결해줍니다"···전문가들 2주간 무료 강연2022.07.11
또, 기존에는 국내를 촬영한 위성영상을 배포할 때 보안상의 이유로 물리적 저장매체에 위성영상을 저장해 배포하는 불편함이 있었으나, 앞으로는 보안처리 필요 시설을 포함하지 않은 경우 보정하지 않은 좌표를 포함한 위성영상에 대해서는 온라인 배포를 허용한다. 9월까지 산업계 간담회를 통해 의견을 수렴하고 관련 지침을 개정할 예정이다.
과기정통부 이종호 장관은 "이번 보안 관련 규제개선은 산업계가 오랫동안 요청해왔던 사항으로 산업계 의견을 반영해 마련했다"며 "이번 규제개선을 통해 민간의 혁신적인 신기술 개발을 촉진하고, 이를 통해 공공서비스의 혁신과 안전한 디지털플랫폼정부 구현이 기대된다"고 말했다.