과기정통부, 클라우드 보안인증 등급제 개편에 '신중'

디지털플랫폼정부위원회 중심으로 진행…"추가 논의 진행 중"

컴퓨팅입력 :2022/11/14 17:57

과학기술정보통신부가 클라우드 보안인증제(CSAP) 등급제 개편 속도를 늦추며 신중을 기하는 모습이다. CSAP 등급제 개편안을 서둘러 내놓기보다 디지털플랫폼정부위원회를 중심으로 충분한 논의를 거친다는 입장이다.

과기정통부는 14일 서울역 공간모아 회의실에서 '클라우드컴퓨팅 서비스 정보보호에 관한 기준' 개정안 설명회를 개최했다. 이날 설명회에 참석한 과기정통부 사이버침해대응과 설재진 과장은 CSAP 등급제 개편과 관련해 "디지털플랫폼정부위원회를 중심으로 아직 등급제 논의를 진행하고 있다"며 "보안인증 제도 개편이 무산됐다고 보는 건 적절하지 않다"고 밝혔다.

과기정통부 사이버침해대응과 설재진 과장이 14일 열린 '클라우드컴퓨팅 서비스 정보보호에 관한 기준' 개정안 설명회에서 발표하고 있다.

이날 뉴시스는 정부가 CSAP 등급제 시행 일정을 사실상 무기한 보류했다고 보도했다.

설 과장은 "전문가 의견 수렴을 비롯해, CSAP 등급제 개편안에 대해서 디지털플랫폼정부위원회 중심으로 여러 부처와 이해관계자가 지속적으로 논의하고 있다"며 "등급 기준 분류 등 전체적인 틀을 모두 논의해야 하는 상황으로 확정안을 현재 발표하기는 어려우며, 추가적으로 논의가 진행될 예정"이라고 말했다.

과기정통부는 지난 8월 시스템 중요도에 따라 보안 등급을 3등급으로 나누고, 차등화된 보안인증 기준을 적용하는 CSAP 등급제를 도입하겠다고 밝혔다.

내년 1월 '클라우드컴퓨팅서비스 정보보호에 관한 기준' 고시 개정안 시행과 맞물려 CSAP 등급제 개편안은 이달 중 나올 것으로 예상됐지만, 업계 의견 조율과 부처 간 협의가 길어지면서 고시 개정안이 먼저 시행될 것으로 전망된다. 고시 개정안은 내년 1월 12일 시행될 예정이다.

■ 내년 클라우드 보안인증 평가기관 다양화 및 인증 수수료 부과

이날 설명회에서는 ▲클라우드 보안인증 평가기관 신규지정 ▲인증수수료 부과 ▲SaaS 재인증 절차 규제 완화 등 고시개정에 따른 주요 변경사항을 소개했다.

먼저, 가장 크게 바뀌는 부분 중 하나는 보안인증 평가기관 다양화다. 기존에는 한국인터넷진흥원(KISA)이 단독으로 평가와 인증 기관의 역할을 모두 해왔다. 앞으로는 평가 기관이 늘어난다.

내년 1월 평가기관 지정대상, 업무범위, 신청방법 등이 공고될 예정이며, 지정심사를 거쳐 3월 인증기관 및 평가기관이 선정될 예정이다.

내년부터는 그동안 무료였던 인증 수수료도 부과된다. 그동안 인증평가 수수료는 100% 국비 지원이 됐다. 하지만 이제 일부만 국비 지원을 하는 방식으로 바뀐다. 인증 수수료는 직접인건비와 제경비, 기술료, 직접경비를 합쳐서 책정된다.

한국인터넷진흥원(KISA) 클라우드인증팀 이상무 팀장은 "그동안은 정부 예산을 통해서 수수료를 지원했는데, 충분한 준비가 되지 않고 신청이 이뤄지면 평가팀 입장에서 평가가 어려우며 그런 경우 수수료 지원이 적절치 않다고 생각해서 수수료를 받게 됐다"며 "중소기업의 경우 인증 수수료 일부를 감면해 지원할 예정"이라고 밝혔다.

소기업은 70%, 중기업은 50%의 수수료를 정부가 지원할 예정이다. 인증 신청 시 소기업은 수수료의 30%를, 중기업은 50%를 미리 선납하고 인증평가와 수행이 다 끝난 후에 잔금을 정부가 지원한다.

보안 인증을 받은 SaaS 재인증에 대한 규제도 완화된다. 기존에는 보안인증을 받은 SaaS를 다른 IaaS 환경에 구축하는 경우, 보안인증을 다시 받아야 해 기업에게 시간적·경제적 부담이 가중됐다.

이제는 IaaS 변경으로 인한 SaaS 재인증 신청 시, 변경사항 중심의 인증·평가만을 수행해 평가항목을 약 40%로 간소화함으로써 기업 부담을 완화했다.

인증 유효기간은 일률적으로 5년으로 바뀐다. 기존에는 SaaS 간편 등급 인증의 경우, 유효 기간이 3년이었으나 이제는 모든 보안 인증 유효 기간이 5년으로 통일된다.

사후평가 또한 개선된다. 기존에는 보안취약점 점검 평가를 모두 KISA 평가팀에서 진행했다. 이제는 최초 평가는 기존대로 하되, 사후 평가는 기업이 스스로 한 자체 평가 결과를 인정하기로 했다.

이 팀장은 "스스로 보안 취약점 점검 평가를 하는 것을 어려워하는 보안 사업자들은 KISA에서 지원하는 보안 점검 지원 사업을 활용할 수 있다"고 덧붙였다.

관련기사

과기정통부는 이날 제시된 다양한 의견을 추가 검토해 최종 고시 개정(안)에 반영하고, 향후 국무조정실 규제심사, 법제처 심사 등을 거쳐 내년 법률 시행 이후 공포한다는 계획이다.

과기정통부 김정삼 정보보호네트워크정책관은 “이번 클라우드 보안인증 고시 개정은 제도운영 절차에 대한 법적근거를 마련함과 동시에 복수 평가기관 지정 등을 통해 사업자의 인증 평가상 어려움을 경감한데 큰 의의가 있다”며 “앞으로도 현장의 다양한 의견을 수렴하여 안전한 클라우드 이용환경 조성과 산업 활성화를 위한 정책 수립에 적극 반영하겠다”라고 말했다.