클라우드

[클라우드임팩트] 과기정통부 “CSAP 상·중 등급, 하반기 시행 목표”

이종현
과기정통부 허진우 사이버침해대응과장
과기정통부 허진우 사이버침해대응과장
[디지털데일리 이종현기자] 1월31일 클라우드 보안인증(CSAP) 개편이 이뤄졌다. 하나의 등급으로 분류되던 CSAP를 시스템 중요도에 따라 ‘상·중·하’로 구분하는 등급제로 손본 것이 골자다. 이중 ‘하’ 등급의 경우 물리적 망분리 대신 논리적 망분리를 허용한 것이 주요 내용이다. 보다 다양한 클라우드 서비스 기업(CSP)이 공공 시장에 진출할 수 있도록 한다는 것이 개편 취지다.

22일 <디지털데일리>가 개최한 ‘클라우드 임팩트 2023 컨퍼런스’에 여러 클라우드 산업계 전문가들이 참여한 가운데 과학기술정보통신부 허진우 사이버침해대응과장은 CSAP 등급제 추진현황 및 계획에 대해 소개했다.

허 과장은 “작년 한해 클라우드 업계의 최대 이슈는 CSAP 등급제가 아닐까 싶다. 진행 상황이나 새롭게 만들어진 기준, 일정 등 많은 관심과 기대, 걱정을 받았다. 제도 도입이 얼마되지 않은 시점에서 등급제 전반에 대해 말할 기회가 마련돼 다행”이라고 소회를 전했다.

이어서 그는 “CSAP는 그간 민간 클라우드 이용이 다소 제한됐던 공공 영역에서도 민간 클라우드를 적극 활용할 수 있도록 함으로써 공공 서비스를 혁신하는 동시에 클라우드 산업 경쟁력을 키우기 위해 도입됐다”며 “지난 8월 등급제 기본 방향이 발표됐고 산업계 의견수렴과 관계부처 이견 조정을 거쳐 1월31일 CSAP 등급제가 최종 시행됐다”고 말했다.

상·중·하 등급을 구분하는 기준은 시스템의 중요도다. 등급별로 다른 보안인증 기준이 적용된다. 외교 분야와 같은 민감 정보나 행정 내부업무 운영 시스템의 경우 상등급으로 분류된다. 비공개 업무자료를 다루는 시스템은 중등급, 개인정보가 미포함된 공개된 공공데이터를 다루는 경우 하등급이다.

1월31일 시행된 과기정통부 클라우드컴퓨팅서비스 보안인증에 관한 고시에서는 하등급만 우선 적용한 상태다. 허 과장은 하반기 내 상·중 등급을 포함한 고시 개정을 추진하겠다고 밝혔다. 상등급의 경우 기존 단일등급 평가기준대비 보안을 더 강화하고, 중등급은 현행 수준을 유지하는 수준으로 검토하고 있다고도 부연했다.

개편으로 CSAP 서비스형 인프라(IaaS) 하등급의 경우 기존 117개 점검항목 대신 64개 항목만 검토하면 된다. 서비스형 소프트웨어(SaaS)는 78개에서 30개로 줄였다. 공개된 공공데이터를 취급하는 하등급의 특성을 고려해 기존 점검항목에서 불필요한 부분은 제외했다는 것이 허 과장의 설명이다.

가장 큰 변화는 물리적 망분리만 요구했던 기존 방식에서 하등급에 한해 논리적 망분리를 허용했다는 데 있다. 이는 CSAP 등급제 개편이 산업계의 핵심 화두로 떠오른 배경이다.

서비스형 인프라(IaaS)를 제공 중인 CSP 중 물리적 망분리를 적용해 CSAP 인증을 획득한 것은 네이버·NHN·KT 등 국내 사업자뿐이다. 그러나 CSAP 개편으로 논리적 망분리가 허용됨에 따라 아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 등 외산 CSP의 공공 클라우드 시장 진출의 길이 열리게 됨에 따라 시장이 요동치게 됐다.

등급제 개편을 두고 산업계에서는 여러 목소리가 혼재해 있는 상태다. 국내 CSP의 경우 개편에 대해 우려의 목소리를 전했으나 외산 CSP나 그와 협력하는 클라우드 관리·서비스 기업(MSP) 및 소프트웨어(SW) 기업 등은 개편을 반기는 모양새다. 여러 이해관계가 얽힘에 따라 국산 Vs 외산이라는 구도로 형성되지도 않았다.

허 과장은 과기정통부가 준비 중인 상·중등급 시스템에 대한 보안성 검증 및 세부 평가기준 마련을 위한 실증시범사업 추진계획도 안내했다. 영역분리, 필요 보안조치, 보안관제 조치 등 보안사항을 적용한 환경을 구성해 보안성과 기능, 성능 등을 검증하는 테스트베드 구축과 구축된 테스트베드에 몇몇 시스템을 클라우드로 전환·이전해 국가정보원(이하 국정원)이 최종 보안성을 검증하는 실증·시범 사업을 추진한다는 것이 얼개다.

허 과장은 “국정원 등 관계부처와 함께 보안성을 검토하고 그 결과를 토대로 하반기 고시 개정을 추진해 상·중등급도 시행하고자 한다”고 피력했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널