과학기술정보통신부는 클라우드 보안인증(CSAP) 등급제 도입을 위한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 19일부터 오는 30일까지 재행정예고했다. 과기정통부는 이전 행정예고 기간 들어온 업계 의견을 일부 반영해, 하등급에서도 보안성을 확보할 수 있도록 평가 항목을 일부 추가했다.
이날 재행정예고된 고시 개정안에는 과기정통부가 지난달 29일부터 지난 18일까지 청취한 업계 의견이 일부 반영됐다. 지난 행정예고 기간 클라우드 업계에서는 ▲하등급 보안성 우려 ▲하등급 실증 필요 ▲상·중·하등급 동시 시행 등의 의견을 내놨다.
이중 과기정통부는 하등급 시스템의 보안성이 담보돼야 한다는 업계 의견을 반영해, 하등급 보안성을 확보할 수 있도록 고시 개정안에 보안성 평가 항목을 추가했다. 시큐어코딩 적용, 암호화보안정책 수립, 물리적 조치 등과 관련된 내용이 추가 및 수정됐다.
이외에도 업계에서 헷갈려 하는 부분에 대해서도 명시해놨다. 기존에는 물리적 보호 조치 세부 사항에 '클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정한다'고 표기돼 있자, 업계에서 백업 시스템도 포함되는 것인지에 대한 문의가 많았다. 이에 과기정통부는 '클라우드 시스템, 백업 시스템 및 데이터와 이를 위한 관리·운영 인력의 물리적 위치는 국내로 한정한다'고 명시해놨다.
다만, 상·중등급 시스템은 관계부처 공동 실증·검증을 거친 후 시행하며, 하등급 시스템은 고시 공포 이후 실증 없이 바로 시행하기로 한 기존 방향은 달라지지 않았다.
관련기사
- 클라우드 보안인증 행정예고 종료…'하등급' 이달 말 시행2023.01.18
- "CSAP 등급제 여전히 모호해"…국내 클라우드 사업자 우려 여전2023.01.16
- 한국클라우드산업협회 "명확한 CSAP 가이드라인 제시해야…하등급도 실증 필요"2023.01.11
- 과기정통부, CSAP 등급제 간담회 13일 개최2023.01.10
과기정통부 관계자는 "보안성 측면의 업계 의견을 고시 개정안에 반영하게 돼, 이를 알려드리고자 재행정예고를 하게 됐다"며 "원래 추진하려던 등급제 도입과 '하등급 먼저 시행하되 상·중등급은 실증 검증 이후에 한다'는 기본 방침엔 변함이 없다"고 말했다.
과기정통부는 CSAP 등급제 도입 속도를 늦추진 않을 계획이다. 과기정통부 관계자는 "재행정 예고 기간 업계 의견을 수렴한 후, 특별한 사안이 없다면 행정예고 이후 고시를 공포할 예정"이라며 "하등급 시행은 1월에도 진행할 수 있다"고 말했다.
