.gif)
[3줄 요약]
1. 이중 인증 절차 국정원 ‘신규 검증 제도’로 단일화
2. CSAP ‘상중하’ 폐지... ISMS에 ‘모듈화’ 통합 민간 자율화
3. “외산 문제는 통상 논의 결과에 정책 맞춰야”
[보안뉴스 강현주 기자] 이중 절차를 거쳐야 했던 공공 시장 클라우드 보안 인증이 국정원의 ‘신규 검증 제도’로 단일화된다. 기존 ‘클라우드보안인증’(CSAP)는 ISMS에 통합돼 민간 자율로 운영된다.
국가정보원과 과기정통부는 20일 이 같은 내용을 공동 발표했다. “현행보다 분명히 인증 기간 단축과 비용 절감될 것”이라고 강조했다.
유예 기간 동안 CSAP 받아도 5년 유효기간 인정
새 제도는 2027년 하반기부터 시행되며, 1년 가량의 유예기간 동안에는 CSAP 유효기간 그대로 인정된다. 올해 상반기 중 시행 예고를 하고, 내년 상반기까지 신규 검증 제도 시행 준비를 거친다.
그간 클라우드 서비스 기업이 공공 시장에 진입하려면, 과기정통부의 CSAP를 먼저 취득한 후 국정원의 ‘보안검증’도 거쳐야 했다. 이에 단일 검증체계로 바꾸는 등 개선방안을 마련한 것이 골자다.
단일 검증체계가 시행되기 전에 CSAP 인증을 받은 제품의 경우 유효기간을 그대로 인정한다. 검증 항목도 클라우드 기술 특성에 맞게 개선해 공공 클라우드의 보안 수준은 강화하고 기업의 부담은 경감시킬 예정이다.
정부는 이 같은 내용을 담아 올 상반기 중 ‘국가 클라우드컴퓨팅 보안가이드라인’ 등을 개정한다.
민관 검증심의위원회가 평가... “분명 절감 효과 있을 것”
신규 검증 제도의 원활한 시행을 위해 과기정통부 추천 인사 등 관계 기관 및 산·학·연 전문가로 구성된 ‘민관 검증심의위원회’가 검증 결과의 공정성·타당성 여부를 평가한다. 기존 CSAP 평가기관의 전문성을 새 제도에 연계해 행정의 연속성도 확보할 방침이다.
과기정통부는 공공 영역의 보안 검증을 국정원 기준에 맞춰 단일화함으로써 보안 신뢰성을 높이는 동시에, 민간 영역은 기업의 정보보호 관리체계(ISMS)에 클라우드 서비스 분야 자율 보안인증으로 통합 조성할 계획이다.
이번 단일화 개편을 통해 행정 절차의 효율성을 극대화하고, 기업이 핵심 서비스 혁신에 전념할 수 있는 최적의 비즈니스 환경을 조성할 것이라는 게 국정원과 과기정통부의 기대다.
김창섭 국정원 3차장은 “이중 규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준은 높이는데 주안점을 뒀다”며 “기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것”이라고 강조했다.
류제명 과기정통부 2차관은 “국정원과 협력해 부처 간 칸막이를 허물었으며, 우리 기업들이 보안의 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다”며 “특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여해 산업 생태계의 안정적 성장을 돕겠다”고 밝혔다.
국정원·과기정통부와의 일문일답
Q. 유예기간 동안 CSAP를 받은 후 새 제도가 시행되면?
CSAP 유효기간은 5년이다. 유예기간 동안에도 CSAP를 정상적으로 받을 수 있으며, 이후 2027년 7월부터 새 제도가 시행돼도 CSAP를 받은 시점부터 5년까지의 유효기간이 보장된다.
Q. ISMS에 CSAP를 통합하는 것은 어떤 식으로 이뤄지나
CSAP가 따로 ‘모듈화’ 형태로 ISMS에 통합되며, 민간 클라우드 사업자가 자율적으로 선택할 수 있게 된다.
Q. 신규 제도가 시행되면 검증 간소화, 비용 절감 효과가 있나
민간 클라우드 사업자를 포함한 전문가들의 의견 수렴 절차를 거쳐 기존 검증 항목들을 최적화하고 합리화해 중복적인 항목이 줄어들 것이다. 이에 검증 비용 절감 효과도 기대할 수 있을 것이다. 가령 현재 ISMS도 CSAP와 중복되는 항목이 있다. 신규 제도의 항목들은 아직 확정이 아니며, 해설서와 초안이 나온 후 공개하게 된다. 2027년 하반기에 간소화 트랙도 시행할 계획이며, 2027년 상반기쯤 공표될 것 같다.
Q. N2SF의 ‘기밀, 민감, 공개’(CSO)와 CSAP의 ‘상중하’는 어떻게 정리되는가
현행 CSAP의 ‘상중하’는 ‘CSO’로 바뀌고, 구체적인 것은 내부 논의 중이다. N2SF 관련 클라우드 등급 혼선은 정책 정합성에 맞춰나갈 예정이다.
Q. 국내 사업자와 해외 사업자와의 차이가 있나
특정 국가를 배제하는 항목은 하나도 없다. 등급에 따라 보안 요건을 차등적으로 적용하는 것이다. 국정원의 요건에만 맞추면 문제없다.
Q. CSAP ‘상중하’를 없앤다는 것은 외산 규제의 허들에 변화를 준 것은 아닌가
공공 클라우드를 위한 등급 분류였던 ‘상중하’는 CSAP가 민간 자율화가 됨에 따라, 사라지는 것이라고 이해하시면 된다. 통상과 관련된 것은 지금 말씀드리기 조심스럽다. 현재 정부가 분야별 통상 트랙으로 논의를 따로 하고 있기 때문에 그 결과에 따라 정책도 맞춰야 할 필요가 있다.
[강현주 기자(jjoo@boannews.com)]
1. 이중 인증 절차 국정원 ‘신규 검증 제도’로 단일화
2. CSAP ‘상중하’ 폐지... ISMS에 ‘모듈화’ 통합 민간 자율화
3. “외산 문제는 통상 논의 결과에 정책 맞춰야”
[보안뉴스 강현주 기자] 이중 절차를 거쳐야 했던 공공 시장 클라우드 보안 인증이 국정원의 ‘신규 검증 제도’로 단일화된다. 기존 ‘클라우드보안인증’(CSAP)는 ISMS에 통합돼 민간 자율로 운영된다.
국가정보원과 과기정통부는 20일 이 같은 내용을 공동 발표했다. “현행보다 분명히 인증 기간 단축과 비용 절감될 것”이라고 강조했다.
유예 기간 동안 CSAP 받아도 5년 유효기간 인정
새 제도는 2027년 하반기부터 시행되며, 1년 가량의 유예기간 동안에는 CSAP 유효기간 그대로 인정된다. 올해 상반기 중 시행 예고를 하고, 내년 상반기까지 신규 검증 제도 시행 준비를 거친다.
그간 클라우드 서비스 기업이 공공 시장에 진입하려면, 과기정통부의 CSAP를 먼저 취득한 후 국정원의 ‘보안검증’도 거쳐야 했다. 이에 단일 검증체계로 바꾸는 등 개선방안을 마련한 것이 골자다.
단일 검증체계가 시행되기 전에 CSAP 인증을 받은 제품의 경우 유효기간을 그대로 인정한다. 검증 항목도 클라우드 기술 특성에 맞게 개선해 공공 클라우드의 보안 수준은 강화하고 기업의 부담은 경감시킬 예정이다.
정부는 이 같은 내용을 담아 올 상반기 중 ‘국가 클라우드컴퓨팅 보안가이드라인’ 등을 개정한다.
민관 검증심의위원회가 평가... “분명 절감 효과 있을 것”
신규 검증 제도의 원활한 시행을 위해 과기정통부 추천 인사 등 관계 기관 및 산·학·연 전문가로 구성된 ‘민관 검증심의위원회’가 검증 결과의 공정성·타당성 여부를 평가한다. 기존 CSAP 평가기관의 전문성을 새 제도에 연계해 행정의 연속성도 확보할 방침이다.
과기정통부는 공공 영역의 보안 검증을 국정원 기준에 맞춰 단일화함으로써 보안 신뢰성을 높이는 동시에, 민간 영역은 기업의 정보보호 관리체계(ISMS)에 클라우드 서비스 분야 자율 보안인증으로 통합 조성할 계획이다.
이번 단일화 개편을 통해 행정 절차의 효율성을 극대화하고, 기업이 핵심 서비스 혁신에 전념할 수 있는 최적의 비즈니스 환경을 조성할 것이라는 게 국정원과 과기정통부의 기대다.
김창섭 국정원 3차장은 “이중 규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준은 높이는데 주안점을 뒀다”며 “기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것”이라고 강조했다.
류제명 과기정통부 2차관은 “국정원과 협력해 부처 간 칸막이를 허물었으며, 우리 기업들이 보안의 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다”며 “특히 기존 기업들의 투자가 헛되지 않도록 제도 전환 기간을 부여해 산업 생태계의 안정적 성장을 돕겠다”고 밝혔다.
국정원·과기정통부와의 일문일답
Q. 유예기간 동안 CSAP를 받은 후 새 제도가 시행되면?
CSAP 유효기간은 5년이다. 유예기간 동안에도 CSAP를 정상적으로 받을 수 있으며, 이후 2027년 7월부터 새 제도가 시행돼도 CSAP를 받은 시점부터 5년까지의 유효기간이 보장된다.
Q. ISMS에 CSAP를 통합하는 것은 어떤 식으로 이뤄지나
CSAP가 따로 ‘모듈화’ 형태로 ISMS에 통합되며, 민간 클라우드 사업자가 자율적으로 선택할 수 있게 된다.
Q. 신규 제도가 시행되면 검증 간소화, 비용 절감 효과가 있나
민간 클라우드 사업자를 포함한 전문가들의 의견 수렴 절차를 거쳐 기존 검증 항목들을 최적화하고 합리화해 중복적인 항목이 줄어들 것이다. 이에 검증 비용 절감 효과도 기대할 수 있을 것이다. 가령 현재 ISMS도 CSAP와 중복되는 항목이 있다. 신규 제도의 항목들은 아직 확정이 아니며, 해설서와 초안이 나온 후 공개하게 된다. 2027년 하반기에 간소화 트랙도 시행할 계획이며, 2027년 상반기쯤 공표될 것 같다.
Q. N2SF의 ‘기밀, 민감, 공개’(CSO)와 CSAP의 ‘상중하’는 어떻게 정리되는가
현행 CSAP의 ‘상중하’는 ‘CSO’로 바뀌고, 구체적인 것은 내부 논의 중이다. N2SF 관련 클라우드 등급 혼선은 정책 정합성에 맞춰나갈 예정이다.
Q. 국내 사업자와 해외 사업자와의 차이가 있나
특정 국가를 배제하는 항목은 하나도 없다. 등급에 따라 보안 요건을 차등적으로 적용하는 것이다. 국정원의 요건에만 맞추면 문제없다.
Q. CSAP ‘상중하’를 없앤다는 것은 외산 규제의 허들에 변화를 준 것은 아닌가
공공 클라우드를 위한 등급 분류였던 ‘상중하’는 CSAP가 민간 자율화가 됨에 따라, 사라지는 것이라고 이해하시면 된다. 통상과 관련된 것은 지금 말씀드리기 조심스럽다. 현재 정부가 분야별 통상 트랙으로 논의를 따로 하고 있기 때문에 그 결과에 따라 정책도 맞춰야 할 필요가 있다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
