과기정통부·국정원, 공공 인터넷 기반 자원 공유(클라우드) 시장 진입 절차 개선 방안 발표

 - 기존 과기정통부와 국정원의 이중 보안인증 절차를 '국정원 단일 체계'로 개편

 - 상반기 '국가 인터넷 기반 자원 공유 컴퓨팅 보안 지침(국가 클라우드컴퓨팅 보안 가이드') 개정, 1년 유예 후 '27년 본격 시행

 - 민간 인터넷 기반 자원 공유(클라우드) 범용 영역은 정보 보호 관리체계 인증(ISMS)으로 통합

과학기술정보통신부(부총리 겸 과학기술정보통신부 장관 배경훈, 이하 과기정통부) 와 국가정보원(이하 국정원)과 기업들의 공공 인터넷 기반 자원 공유(클라우드) 시장 진입 시 필요한 검증 절차를 국정원 단일 검증 체계로 일원화하는 정책을 공동 발표했다.

 

그간 인터넷 기반 자원 공유(클라우드) 서비스 기업이 공공 시장에 진입하려면 과기정통부의 '클라우드 보안인증(CSAP')을 먼저 취득한 후 국정원의 '보안 검증'도 거쳐야 했으나 단일 검증 체계로 바꾸는 등의 개선 방안을 마련한 것이 주요 골자이다.

 

 * CSAP(Cloud Security Assurance Program) : 인터넷 기반 자원 공유 컴퓨팅(클라우드컴퓨팅) 서비스 사업자가 제공하는 서비스에 대해 정보 보호 기준의 준수 여부를 평가·인증하는 제도

 

** 보안 검증 : 인터넷 기반 자원 공유(클라우드) 컴퓨팅 서비스에 대해 수립한 보안대책의 적합성을 검증하는 절차

 

또한, 단일 검증 체계가 시행되기 전에 인터넷 기반 자원 공유 보안인증(클라우드 보안인증)(CSAP)을 받은 제품의 경우 유효기간을 그대로 인정하며, 검증 항목도 인터넷 기반 자원 공유(클라우드) 기술 특성에 맞게 개선하여 공공 인터넷 기반 자원 공유(클라우드)의 보안 수준은 강화하고 기업의 부담은 경감시킬 방침이다.

 

정부는 이 같은 내용을 담아 올 상반기 중 '국가 인터넷 기반 자원 공유 컴퓨팅 보안 지침(클라우드컴퓨팅 보안가이드라인)' 등을 개정하고, 1년간 유예기간을 거친 후 2027년 하반기부터 본격 시행해 나갈 예정이다.

 

 

이와 함께, 신규 검증 제도의 원활한 시행을 위해 과기정통부 추천 인사 등 관계기관 및 산·학·연 전문가로 구성된 '민관 검증심의위원회'가 검증 결과의 공정성·타당성 여부를 평가하며, 기존 인터넷 기반 자원 공유 보안인증(클라우드 보안인증, CSAP) 평가기관의 전문성을 새 제도에 연계해 행정의 연속성도 확보할 방침이다.

 

한편, 과기정통부는 공공 영역의 보안 검증을 국정원 기준에 맞춰 단일화함으로써 보안 신뢰성을 높이는 동시에, 민간 영역은 기업의 정보 보호 관리체계인 정보 보호 관리체계(ISMS*)에 인터넷 기반 자원 공유(클라우드) 서비스 분야 자율 보안인증으로 통합 조성할 계획이다. 이번 체계 전환을 통해 인증 간 유사 보안 기준을 하나로 통합하여 행정 절차의 효율성을 극대화하고, 기업이 핵심 서비스 혁신에 더욱 전념할 수 있는 최적의 사업 환경을 조성할 것으로 기대된다.

 

 * ISMS(Information Security Management System) : 기업의 정보기술 정보자산이 안전하게 관리

 

류제명 과기정통부 2차관은 "국정원과 협력하여 부처 간 칸막이를 과감히 허물었으며, 이를 통해 우리 기업들이 보안의 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다"라며, "특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여하여 산업 생태계의 안정적 성장을 돕겠다"라고 밝혔다.

 

김창섭 국정원 3차장은 "이번 정책으로 그간 이중 규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준을 높이는데 주안점을 두었다"라며 "기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것"이라고 밝혔다.