클라우드 보안인증(CSAP) 등급제 도입을 위한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안 행정예고 기간이 18일 마감된다. 행정 예고 기간 동안 업계에서는 등급제를 둘러싸고 여러 의견이 나왔지만, 기존 정부 발표에서 큰 변화 없이 고시는 이달 말 공포될 예정이다.
18일 과기정통부에 따르면 이날 고시 개정안을 위한 행정예고가 끝난 후, 이달 말 예정대로 고시 공포를 진행할 예정이다. 고시 공포 날짜에 맞춰 세부적인 클라우드 시스템 분류 기준이 담긴 '국가정보보안지침'도 개정된다. 고시가 공포되면 가장 민감도가 낮은 하등급 시스템 보안 인증부터 시행된다.
과기정통부는 지난달 클라우드 보안인증 등급제를 추진한다고 밝히며, 지난달 29일부터 이달 18일까지 고시 개정안을 행정예고했다. 이후 과기정통부는 지난 13일 업계 의견을 수렴하기 위한 간담회를 개최했으며, 지난 16일에는 더불어민주당 윤영찬 국회의원이 개최한 토론회에도 참석해 업계 의견을 들었다.
당시 클라우드 업계에서는 하등급도 실증해야 한다는 의견과 CSAP 상·중·하등급을 동시 시행해야 한다는 의견이 나왔다. 특히 서비스형 인프라(IaaS) 업체 중심으로는 하등급 시스템이어도 보안성이 담보되기 위해서는 실증이 필요하다는 주장이 나왔다. 또한 미국을 중심으로 한 해외 사업자들이 이미 클라우드 생태계를 장악한 상황에서 하등급 시스템을 먼저 열어주게 되면 국내 클라우드 사업자는 살아남기 힘들다며, 등급제 시행이 충분한 의견 수렴이 되지 않은 채 진행된다는 불만이 나왔다.
그러나 고시 개정안은 현재로서는 큰 변동 가능성 없이 계획대로 진행될 전망이다. 과기정통부 관계자는 18일 "아직 업계 의견 반영 사안에 대해서는 검토 중으로 최종 결정된 것은 없다"며 "18일 행정예고가 끝난 후, 이달 말 고시가 공포될 예정"이라고 말했다. 고시가 공포되면 하등급 시스템에 대한 클라우드 보안인증은 바로 시행된다.
현재 행정 예고된 고시 개정안에 따르면, 그동안 민간 클라우드 이용이 제한됐던 공공영역을 개방해 클라우드 시장 전반을 활성하고자 보안인증 체계를 개선해 상·중·하 등급제를 도입한다.
상등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템, 중등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템으로 분류될 계획이다. 행정 내부업무 운영 시스템은 시스템 중요도에 따라 중등급으로도 분류될 수 있도록 한다.
관련기사
- "CSAP 등급제 여전히 모호해"…국내 클라우드 사업자 우려 여전2023.01.16
- 한국클라우드산업협회 "명확한 CSAP 가이드라인 제시해야…하등급도 실증 필요"2023.01.11
- 과기정통부, 클라우드 보안 인증 3등급제 추진…하등급 먼저 시행2022.12.29
- "클라우드 보안 인증 완화, 진흥 부처가 업계 앞길 막는 꼴"2022.10.04
특히, 하등급 시스템에 대해서는 국내 서비스형 소프트웨어(SaaS)사업자가 공공 시장에 신규 진입할 수 있도록 기존의 민간‧공공 영역간 ‘물리적 분리’ 요건을 완화하여 ‘논리적 분리’를 허용한다. 다만, 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가항목은 추가한다.
한편, 올해 공공 클라우드 전환 사업 예산은 342억원으로, 지난해에 비해 대폭 축소됐다. 행정안전부 서보람 디지털정부국 국장은 "올해 공공 클라우드 전환사업 예산이 원래 계획에 비해 많이 줄어든 것에 대해 안타깝게 생각한다"며 "클라우드 전환에 성공하려면 서버 이전뿐 아니라 구조 전체를 바꾸고 SaaS 서비스 활용까지 넘어가는 것이 중요하다"라고 말했다.