공공 클라우드 보안 인증(CSAP)의 국가정보원 일원화 조치는 단순한 절차 통합을 넘어, 글로벌 스탠더드에 부합하는 투명한 보안 거버넌스 확립을 위한 첫 단추로 풀이된다. 이번 개편 과정에서 대통령 직속 국가인공지능전략위원회 산하 보안특별위원회(보안특위)는 클라우드 보안 기준의 '예측 가능성'과 '투명성'을 강력히 주문하며, 향후 법 개정을 통한 근본적인 체계 개선 가능성을 시사했다.
보안특위는 최근 국정원, 과학기술정보통신부 등 관계부처와 일원화 방안을 논의하며 국정원의 보안성 검토 과정에서 고질적 문제로 지적된 불투명성을 해소해야 한다는 점을 분명히 했다.
그간 업계에서는 국정원 보안성 검토를 두고 담당자의 주관에 따라 해석이 달라지거나, 공식적인 문서 답변 대신 구두로 지침이 전달되는 등 현장의 혼선이 적지 않다는 비판이 제기돼 왔다.
이에 보안특위는 해외 선진국 사례처럼 평가 기준과 방법론을 대중에게 투명하게 공개하고, 기업의 질의와 정부의 답변을 모두 문서화해 기업이 예측 가능한 상태에서 인증을 준비할 수 있도록 하는 '공개 행정' 체계의 도입을 강조했다.
국정원은 이러한 요구사항을 반영해 내년 상반기까지 클라우드 보안 검증제도 운영지침과 검증항목 해설서 등도 제도 시행 전 마련해 공개할 방침이다. 기업들이 참고해 인증 제도에 대응하도록 돕기 위해서다. 뿐만 아니라 별도 민관 검증심의위원회를 꾸려 실질적 검증 제도 운영을 맡긴다. 과기정통부 추천 인사 등 산학계 전문가로 위원들을 구성할 예정이다.
보안특위는 이번 발표 내용은 현행법 체계 안에서 국정원과 과기정통부가 협의한 최선의 대안이지만, 이것이 최종 완성형은 아니라는 점도 명확히 했다.
보안특위는 현재 우리나라의 전반적인 보안 거버넌스 체계를 선진국 수준으로 고도화하는 방안을 논의 중이며, 이 과정에서 관련 부처 간의 심도 있는 협의를 거쳐 법적 근거를 재정비할 계획이다. 향후 보안 거버넌스 관련 법률이 개정될 경우, 그 결과에 따라 CSAP 세부 운영 방식이나 인증 체계는 다시 한번 대대적인 변화를 맞이할 수 있다는 의미다.
즉, 2027년 시행될 일원화 조치는 '과도기적 안정'을 꾀하는 동시에, 법 개정을 통한 혁신으로 나아가기 위한 징검다리 역할을 할 것으로 보인다.
정부 관계자는 “법이 개정되기 전까지는 이번 발표 내용대로 제도를 운영하겠지만, 특위 차원에서 논의되는 거버넌스 개선안이 법제화되면 그에 맞춘 최종적인 변화가 일어날 것”이라며 “궁극적으로는 기업의 부담을 실질적으로 덜어주면서도 국가 안보를 빈틈없이 지킬 수 있는 투명한 보안 생태계를 만드는 것이 목적”이라고 전했다.
최호 기자 snoop@etnews.com
