CSAP 등급제 어떻게 바뀌나…"기존 IaaS 인증은 중등급 인정"

업계 간 이견이 많았던 클라우드 보안인증(CSAP) 등급제가 시행됐다. CSAP 등급제는 기존 방침대로 '하등급' 시스템을 먼저 시행하며, 상·중등급은 공동 실증·검증을 거친 후 시행한다. 정부는 기존에 서비스형 인프라(IaaS) 인증을 받은 사업자는 중등급 인증을 받은 것으로 인정할 계획이다.

7일 과학기술정보통신부에 따르면, CSAP 등급제가 시행되면서 기존 IaaS 인증과 서비스형 소프트웨어(SaaS) 표준 인증, 서비스형 데스크톱(DaaS) 인증은 중등급 인증을 받은 것으로 인정될 예정이다. SaaS 간편 인증은 하등급 인증을 받은 것으로 인정된다.

■ 하등급, 先시행하고 '논리적 분리' 허용…"클라우드 시스템 물리적 위치는 국내 한정"

과기정통부는 지난달 31일 '클라우드 컴퓨팅서비스 보안인증에 관한 고시 일부 개정안'을 공포했다. 고시가 공포됨에 따라 가장 민감도가 낮은 하등급 시스템 보안 인증부터 시행됐다. 상·중등급 시스템은 실증을 거친 후 별도 기준을 마련한 후에 시행된다.

고시 공포에 맞춰 같은 날, 클라우드 시스템 중요도에 따른 분류 기준이 담긴 '국가정보보안지침'과 분류 절차 및 체크리스트 등 세부 사항이 담긴 '국가 클라우드 컴퓨팅 보안 가이드라인'도 개정됐다.

이번 고시 개정안의 가장 큰 틀은 그동안 획일적으로 운영되던 보안인증 체계를 클라우드컴퓨팅 서비스의 정보보호 수준에 따라 상·중·하 등급제로 나누고, 하등급은 논리적 분리를 허용하는 것이다.

개정된 국가정보보안기본지침에 따르면, 상등급은 국가 중대 이익(안보, 국가안전, 국방, 통일, 외교 등), 수사·재판 등 민감정보를 포함하거나 행정 내부업무 등을 운영하는 시스템, 중등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 포함 또는 운영하는 시스템으로 분류됐다. 행정 내부 업무의 경우, 시스템 중요도를 고려해 등급 조정이 가능하다.

클라우드 서비스 이용 기관은 해당 분류기준에 따라 시스템 등급을 자체 분류하고, 국정원이 보안성 검토 시 분류의 적정성을 재검토한다.

하등급 시스템에 대해서는 국내 SaaS사업자가 공공 시장에 신규 진입할 수 있도록 기존의 민간‧공공 영역 간 '물리적 분리' 요건을 완화해 '논리적 분리'를 허용한다. 논리적 분리는 서버 가상화 및 네트워크 가상화 기술을 기반으로, 논리적으로 분리된 가상 네트워크상에 구성할 수 있다. 다만, 클라우드 시스템, 백업 시스템 및 데이터의 물리적 위치는 국내로 한정했다.

정부는 하등급 시스템 보안에 대한 업계의 우려를 반영해 고시 개정안에 하등급 시스템에 대한 보안성 평가 항목을 추가하며 업계 의견을 일부 반영했다. 하등급 시스템에 대해 시큐어 코딩 적용, 암호화보안정책 수립, 물리적 조치 등과 관련된 내용이 추가됐다.

■ 기존 IaaS·SaaS·DaaS 인증 사업자는 어떻게? "중등급 인정 방안 검토 중"

과기정통부는 기존 IaaS 인증과 SaaS 표준인증, DaaS 인증은 중등급으로 인정하는 방안을 검토 중이다. SaaS 간편 인증은 하등급 인증을 받은 것으로 인정한다. 따라서 과기정통부는 기존 고시에 따른 인증을 받은 사업자는 개정된 등급제 고시에 따른 큰 영향 없이 공공 클라우드 시장에 진입이 가능할 것으로 전망했다.

과기정통부 관계자는 "기존에 IaaS와 SaaS 표준 인증, DaaS인증을 받은 사업자는 중등급으로 인정하려는 방안을 검토하고 있다"며 "상위 등급의 보안 인증을 받은 사업자는 그 아래 등급의 시스템에는 따로 보안 인증을 받지 않고 들어갈 수 있다"고 말했다.

현재 IaaS 인증을 받은 사업자는 9곳, SaaS 표준 인증을 받은 사업자는 22곳, SaaS 간편 인증을 받은 사업자는 44곳, DaaS 인증을 받은 사업자는 1곳이다. 유효 기간은 IaaS 인증·SaaS 표준인증·DaaS 인증 5년, SaaS 간편인증은 3년이다.

중등급 보안 인증을 받은 사업자가 상등급 인증을 받을 때는 실무적으로 필요한 항목만 추가 인증을 받는 방식으로 진행될 예정이다.