[사설] 공공 클라우드 인증, 일원화 체감 효과 높여야

공공 클라우드 보안인증(CSAP) 업무가 내년 7월부터 국가정보원으로 일원화된다고 한다. 그간 국가·공공기관 업무 클라우드 전환을 위해선 주무부처인 과학기술정보통신부 CSAP를 받은 뒤 최종 국정원 보안 검증까지 거쳐야했지만, 하나의 절차로 통합된다.

관련 기업들로선 CSAP 확보에 드는 시간과 비용, 모든 측면에서 부담을 덜 수 있게 됐다. 특히 하나의 정부이면서 굳이 분리해 강제해온 이중 절차가 하나로 줄어드는 것만으로도 기업은 크게 환영하는 분위기다.

인증제도 통합 효과를 수검 기업이 곧바로 체감할 수 있게 하려는 행정적 노력도 군데군데 보인다. 우선 등급 체계를 국가망 보안체계(N2SF) 기준인 기밀(C)·민감(S)·공개(O) 3단계 구분과 맞추기 위해 당분간 상·중·하 3단계 체계를 유지키로 한 점이다.

일원화 계획 발표 이전부터 3단계 기준에 맞춰 인증을 준비해온 기업들은 그대로 절차를 밟으면 된다. 그리고 내년 7월 이전에 CSAP를 획득하면, 그 뒤 인증 부여기관이 국정원으로 바뀌더라도 5년간 유효한 것으로 본다.

지금까지 대체로 CSO 단계별로 역삼각형 구조를 띠어온 정부·공기관 시스템 보안 등급을 서서히 정삼각형 구조도 변화시키기로 하고, 관련 등급재조정 작업에 들어간 것도 상당한 시장 친화적 조치로 보인다. 내년 상반기까지 제시될 검증제도 시행지침, 해설서 등에 이런 조치가 더 구체화돼야 할 것이다.

클라우드업계가 내년 하반기부터 검증 주무기관의 통합만 바뀐 것으로 느끼게 해선 안된다. 해당 클라우드 서비스가 공공분야에 사용이 적정한지, CSO 단계별 보안 충족 수준은 어디인지 정확히 평가해 제시하는 것이 중요하다. 공공서비스 이용 국민엔 신뢰를, 도입 공기관엔 선택 기준을 줘야 하는 것이다.

개편 과정을 주도한 대통령 직속 국가인공지능전략위원회 산하 보안특별위원회(보안특위)는 국정원 일원화를 단계적 절차로 받아들이면서도 향후 법 개정을 통한 근본적 인증 체계 개선 가능성을 열어뒀다.

그만큼, 이번 절차개선이 완전무결한 것이 아님을 말해준다. 국정원이 CSAP 관련 업무 투명성과 관련 기업의 예측가능성을 높이려 집중하지 않는다면 평가는 엄혹하게 나올 수밖에 없다. 실제 절차와 제도를 지켜야 할 기업에 효과를 보여주는 것만큼, 제도 개선 필요성을 설득할 더 좋은 무기는 없다.

editorial@etnews.com