하반기 시행 앞둔 '국가망보안체계'…클라우드 업계·공공기관 혼란 지속

국가정보원이 발표한 '국가망보안체계(N²SF)'가 올 하반기 본격 시행을 앞둔 가운데 기존 클라우드 보안인증(CSAP)과의 중복 규제 우려로 인해 클라우드 업계와 공공기관 IT 담당자들의 시름이 지속되고 있다.

31일 업계에 따르면 국정원은 공공부문의 인공지능(AI)·클라우드 등 신기술 활용을 목표로 오는 7월 N²SF의 정식 가이드라인 배포와 시행을 준비 중이다.

과거 20여 년간 지속된 과도한 물리적 망분리 규제를 완화하고 재정비함으로써 생성형 AI 시대에 발맞춘 신기술 활용을 촉진하겠다는 것은 긍정적인 취지이나, N²SF 발표 이후 클라우드 업계의 고민은 계속 깊어지고 있는 상황이다.

이는 기존 공공부문 클라우드 서비스 공급에 필수적 요건으로 작용해 온 과학기술정보통신부 주관의 CSAP와의 중복 규제 및 이중 심사 우려가 사그라들지 않고 있기 때문이다.

CSAP는 서비스형 인프라(IaaS)와 서비스형 소프트웨어(SaaS) 등 민간 클라우드 서비스의 보안성을 검증하는 제도로 공급 시스템의 중요도에 따라 상·중·하로 나눠 인증이 부여된다. CSAP 인증 획득을 위한 컨설팅 비용은 평균 약 5천500만원, 최초 인증 비용은 약 3천만원 정도이며 5년 후 인증 갱신을 위해 다시 이 비용을 반복 지출해야 하는 것으로 알려졌다. 이에 CSAP는 SaaS 전환을 추진하는 중소 소프트웨어(SW) 업계의 걸림돌로 작용돼 오기도 했다.

반면 국정원의 N²SF는 공공 전산망을 업무의 중요도에 따라 ▲기밀(Classified) ▲민감(Sensitive) ▲공개(Open) 등급으로 분류한다. 중요도가 상대적으로 낮은 시스템에 대해서는 물리적 망분리를 완화하고 클라우드 기반 SaaS와 생성형 AI 도구들을 이용할 수 있게 하기에 다수 기업이 사업 기회 확대를 기대하고 있다.

문제는 드래프트(Draft) 버전의 N²SF 가이드라인 공개 때부터 현재까지도 N²SF와 CSAP 조화가 불분명하다는 업계 의견이 지속적으로 제기되고 있다는 점이다. 더 나아가 막대한 비용을 들여 획득·유지한 CSAP 자체가 무용지물이 되는 것 아니냐는 지적도 나오고 있다.

이런 우려를 인식한 국정원 측은 N²SF와 CSAP는 평가 대상과 목적이 다른 별개의 제도이기에 CSAP가 전면 폐지되거나 흡수되지 않는다고 밝혔다. 또 기존 CSAP 인증을 받은 서비스는 중복 심사 없이 N²SF 기준에 따른 검증만 추가적으로 진행한다는 입장이다.

그럼에도 초기 N²SF 가이드라인이 발표된 이후 보안 업계는 물론 클라우드·SW 업계에서도 자체적으로 N²SF와 CSAP 간의 공통점과 차이점을 분석하는 작업에 뛰어들었다.

이에 대해 한 업계 관계자는 "업계의 우려를 해소하기 위해 민간 기업들이 N²SF와 CSAP를 분석하는 것에 앞서 국정원과 과기정통부 양 기관이 먼저 나서 각 제도의 충돌이 없다는 것을 적극 알려야 한다"고 지적했다.

IT 업계뿐만 아니라 직접적인 서비스 수요자인 공공기관 IT 담당자들의 혼동도 불식되지 않고 있다. CSAP 기준에 맞춰 기관 시스템을 분류했어도 7월 정식 발표될 N²SF에 맞춰 중요도를 C·S·O로 분석하는 작업을 다시 거쳐야 하기 때문이다.

이에 업계에서는 N²SF 적용 후 향후 몇 개월 동안은 행정·공공기관의 클라우드 사업 발주와 SaaS 도입이 축소될 것으로 심려하고 있다.

국정원은 상반기 선도 사업 등을 통한 안전성 검증과 희망 기관 대상 컨설팅 등을 통해 N²SF가 조기 안착할 수 있도록 준비 중이다. 하반기엔 현재 가이드라인의 미비점을 보완한 뒤 정식 배포하며 시행할 계획이다.

관련기사

국내 클라우드 업계 한 관계자는 "N²SF와 CSAP가 상호 보완 가능한 제도로 자리잡힐 수 있게 지금부터라도 국정원과 과기정통부가 긴밀히 협력했으면 한다"며 "7월 N²SF 정식 가이드라인이 발표되기 이전에 모호한 규제 영역에 대한 걱정을 해소해 기업과 기관의 혼동을 줄여줬으면 한다"고 말했다.

이어 "실무 현장의 의견이 반영된 구체적이고 현실적인 가이드라인이 마련돼 앞으로 N²SF가 공공부문 신기술 혁신의 토대가 되길 바란다"고 덧붙였다.