공공 클라우드 보안 인증 주체가 국가정보원으로 일원화됨에 따라 향후 공공 정보시스템의 클라우드 전환 지도에도 전면적인 변화가 예상된다. 국가정보원이 '국가망 보안체계(N2SF)'를 총괄하는 동시에 새로운 공공 클라우드 인증 체계까지 담당하게 되면서, 보안 정책과 인증 기준 간 일관성이 강화된다.
N2SF는 데이터를 기밀(C)·민감(S)·공개(O)로 분류해 보안 수준에 따라 보호 조치를 차등 적용하는 체계다. 국정원은 새로운 인증 체계를 도입하면서 데이터별 필요한 보안 수준 역시 N2SF 체계에 맞춰 정비하게 된다. 기존 CSAP 상·중·하 인증 체계는 N2SF C·S·O 체계에 대응해 보완된다.
가장 주목할 부분은 행정안전부의 공공시스템 등급 분류 기준인 '서비스 중요도(A1~A4)'까지 고려한 종합적인 인증 설계다.
보안 등급을 의미하는 CSO가 가로축이라면, 업무의 연속성과 복구 시점의 긴급성을 의미하는 A등급은 세로축이다. 예를 들어 특정 시스템은 보안 중요도가 높은 'C'이면서도 서비스 중단 시 영향이 큰 'A1' 등급인 'C-A1'으로 분류될 수 있고, 보안 수준은 낮지만 빠른 복구가 필요한 'O-A1'으로 정의될 수도 있다. 보안과 비즈니스 연속성을 동시에 고려한 정밀한 레벨링이 이뤄지는 셈이다.
성공적인 제도 안착을 위해서는 'CSO-A' 매트릭스에 따른 각 세부 등급별 인증 기준이 투명하게 공개돼야 한다. 특정 등급에 해당하는 시스템을 수주하기 위해 기업이 준비해야 할 보안 표준이 무엇인지 사전에 명확히 예측 가능해야만 민간의 혁신 기술이 공공 시장으로 원활히 유입될 수 있기 때문이다.
민간 클라우드 서비스 사업자(CSP)들도 제도 개편의 취지에 공감하면서도, 실질적인 시장 활성화를 위한 '인증 가시성' 확보를 주문하고 있다. 등급 분류의 기준이 명확해지는 것만큼이나 중요한 것이 각 등급에 요구되는 보안 인증 항목이 일대일로 정확히 매칭돼야 한다는 점이다.
업계 관계자는 “등급 분류가 고도화되더라도 해당 등급에 진입하기 위해 충족해야 할 구체적인 기술·행정적 인증 요건이 모호하다면 기업 입장에선 투자와 개발의 불확실성이 해소되지 않는다”고 지적했다.
또 공공 클라우드 도입 확산을 위해서는 최상위 보안 등급인 C등급의 범위 축소를 유도하고, S 또는 O 등급에서의 클라우드 보안성을 확보해야 한다.
C등급은 국가 기밀이나 안보와 관련된 데이터가 포함된 영역으로, 물리적으로 완전히 격리된 '온프레미스(직접 내부 구축)' 방식만이 허용된다. 그간 공공기관들은 보안 사고에 대한 책임 회피 등을 이유로 자신들의 시스템을 관행적으로 상향 분류해 C등급에 머물고자 하는 경향이 강했다.
하지만 정부는 물리적 인프라 한계와 효율성 저하 문제로 국가 안보 필수 시스템만 C등급으로 둔다는 방침이다. 최근 시스템 등급 조정 작업도 진행 중이다. 국가재난관리시스템(안전디딤돌), 우편정보시스템(인터넷우체국), 국가재정정보관리시스템(디브레인)처럼 과거 내부망에 뒀을 법한 핵심 시스템이 실질적인 데이터 성격에 따라 S 또는 O 등급으로 분류돼 민간 클라우드 전환 대상으로 확정됐다. 이는 공공 시스템의 등급 구조가 과거의 비효율적인 '역삼각형' 구조에서 '정삼각형' 구조로 재편됨을 의미한다.
과거에는 많은 기관이 시스템을 상향 분류하면서 꼭짓점에 있어야 할 C등급이 비대해진 역삼각형 형태를 띠었다. 이로 인해 정작 민간 클라우드로 전환돼야 할 시스템이 내부망에 갇혀 혁신이 가로막혔고, 공공 데이터 센터의 수용 공간 부족으로 재해복구(DR) 시스템 구축조차 어려운 상황에 직면했다. 하지만 이번 등급 체계 정합성 확보를 통해 하단부의 O등급과 중간의 S등급이 두터워지고, 최상위 C등급은 꼭짓점만큼 정예화되는 정삼각형 구조로 안착하게 된다.
업계는 이번 개편을 계기로 공공 클라우드 전환이 본격화되기를 기대하고 있다. C등급은 합리적으로 축소되고 S·O 등급이 확대되면서 시장이 빠르게 열릴 것으로 보고 있다.
국정원과 행안부 등 관계 부처는 앞으로도 시스템 분류 과정에서 발생하는 기관들의 상향 분류 관행을 적극적으로 조정해 실질적인 클라우드 전환을 유도할 방침이다.
최호 기자 snoop@etnews.com, 박진형 기자 jin@etnews.com
