클라우드보안인증제(CSAP)가 단일 인증에서 시스템 중요도에 따른 상·중·하 등급제로 변경된다. 특히 국내 기업들이 반대한 '논리적 망 분리'를 부분적으로 허용하면서 공공시장을 놓고 외산과 토종 기업 간 경쟁이 치열해질 것으로 전망된다.
과학기술정보통신부는 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 29일 행정예고했다.
개정안 핵심은 상·중·하 등급제 도입이다. 민간 클라우드를 이용하고자 하는 국가·공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 '상·중·하' 등급으로 자체 분류한다. 무엇보다 '하' 등급은 논리적 망분리를 허용, 미국·중국 등 해외 클라우드 기업의 공공시장 진출 길이 열리게 됐다.
하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 중 등급은 비공개 업무자료를 포함하거나 운영하는 시스템을 말한다. 상 등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류한다.
평가항목 기준으로 상 등급 평가 기준은 보완·강화하고, 중 등급 평가 기준은 현행수준을 유지한다. 하 등급 평가 기준은 완화한다.
하 등급 시스템에 대해서는 민간·공공 영역 간 '물리적 분리' 요건을 완화, '논리적 분리'를 허용한다. 글로벌 클라우드 서비스를 사용하는 국내 서비스형소프트웨어(SaaS) 사업자가 공공시장에 진입하도록 길을 터 줬다. 다만 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가 항목은 추가한다.
국내에 리전을 보유한 글로벌 클라우드 기업도 민간·공공의 물리적 분리 없이 논리적 분리만으로 공공시장에 진출할 수 있게 됐다.
중 등급 시스템은 행정 내부업무 운영 시스템도 중요도에 따라 중 등급으로 분류할 수 있게 됨에 따라 보안성을 담보한 네트워크 접근을 허용하고 내·외부망 접근·활용 등에 대한 실증·검증을 통해 세부 평가기준을 보완할 계획이다.
SaaS표준, SaaS간편 등 기존유형에 대해서도 상벌규정 등 불필요한 평가항목은 통폐합 및 삭제했다. 이용기관별 테이블 분리 기준을 완화하는 등 합리적으로 규제를 간소화했다.
과기정통부는 행정예고 기간(~1월 18일)에 업계, 관계기관이 참여하는 간담회를 개최해서 각계 의견을 수렴한다. 결과는 최종 고시 개정안에 반영, 1월 중 공포한다.
하 등급 시스템에 대한 클라우드 보안인증은 고시 공포 이후 시행하고, 상·중 등급 시스템은 새해에 시행할 예정이다.
과기정통부 관계자는 “디지털플랫폼정부의 성공적 구현을 위해서는 민간의 클라우드 서비스를 활용한 대국민 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 측면이 함께 고려돼야 한다”면서 “하 등급 시스템에 대해서는 글로벌 경쟁 환경조성과 보안성 측면을 고려하고, 상·중 등급 시스템에 대해서는 신규 시장을 창출해 국내 클라우드 산업 전반의 성장을 위해 노력하겠다”고 말했다.
권혜미기자 hyeming@etnews.com
