[디지털데일리 김보민기자] 정부가 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 행정예고하면서, 클라우드보안인증(CSAP) 제도에 대한 관심이 높아지고 있다.

CSAP는 '클라우드 시큐리티 어슈어런스 프로그램(Cloud Security Assurance Program)'의 약자로, 민간 기업이 공공부문에 클라우드 서비스를 공급할 때 갖춰야 할 필수 인증 요건이다.

한국의 경우 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률'에 따라 제1차 클라우드컴퓨팅 기본 계획을 수립, 2016년 CSAP 제도를 첫 시행했다. 현재 과학기술정보통신부와 한국인터넷진흥원(KISA)이 국가정보원이 수립한 기본지침에 따라 CSAP를 운용하고 있다.

CSAP는 공공기관에 믿을 만한 클라우드 서비스를 공급하자는 취지로 현재까지 적용되고 있다. 특히 공공 영역에서 클라우드 환경을 구축하는 사례가 늘어나면서, 현 제도는 '안정성'과 '신뢰성'이라는 두 가지 키워드를 기반으로 개정을 거쳐왔다. 글로벌 수준에 견줄 만한 요건을 갖추는 작업도 이어졌다.

미국의 경우 '연방정부 클라우드 보안인증(FedRAMP)'을 운용 중이다. FedRAMP는 클라우드 제품 및 서비스를 위한 보안평가·인증·지속 모니터링을 표준화한 정부 프로그램으로, 통제항목을 300개 이상으로 세분화해 관리하는 것이 특징이다. 유럽연합(EU)은 'EUCS(EU Cybersecurity Scheme for Cloud Services)', 일본은 'ISMAP(Information System Security Management and Assessment Program)', 싱가포르는 'MTCS(Multi-Tier Cloud Security)' 등 유사한 인증 제도를 추진하고 있다.

한국에서는 서비스형인프라(IaaS) 인증을 중심으로 CSAP 제도가 본격 시행됐고, 이후 2019년 서비스형소프트웨어(SaaS) 인증이 추가 시행됐다. 2020년에는 서비스형데스크톱(DaaS) 인증으로 영역이 확장됐다.

인증 대상은 서버·저장장치·네트워크 등을 제공하는 서비스, 응용 프로그램과 같은 소프트웨어를 제공하는 서비스, 소프트웨어 개발·배포·운영·관리를 위한 환경을 제공하는 서비스 등이다. 사실상 공공 정보시스템을 구성하는 데 필요한 모든 클라우드 서비스가 인증 대상인 셈이다. 관련 공공사업에 참여하거나 서비스를 제공하는 클라우드 기업들은 심사를 거쳐 이 인증을 자격 요건으로 반드시 획득해야 한다.

다만 표준등급, 간편등급 등 포괄적인 인증만 가능했던 터라 클라우드 업계 안팎에서는 인증 등급 다양성이 부족하다는 의견이 꾸준히 제기돼 왔다. 각 공공부문마다 요하는 보안 수준이 다른데, 최대 두 가지 등급으로 차등을 두는 것이 적절하냐는 지적이었다. 평가 항목도 100여개에 그쳐, 글로벌 수준에 준하는 만큼 항목을 세분화해야 한다는 의견에도 힘이 실렸다.

특히 미국의 반발이 거셌다. 미국 정부는 CSAP 제도로 인해 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 등 자국 클라우드서비스(CSP) 기업들이 한국 공공 분야로 진출하기 어려워졌다며 제도 개선을 압박해왔다. 국내 CSP 기업의 경우 외국계 진입을 경계하면서도, 동시에 CSAP가 공공 시장에 대한 진입장벽을 견고하게 한다는 의견을 피력하기도 했다.

이에 과학기술정보통신부는 지난해 1월 클라우드 시스템 중요도 기준을 3등급으로 구분했다. 또한 등급별로 차등화한 보안인증 기준을 적용하기 위해 '클라우드 컴퓨팅서비스 보안인증에 관한 고시' 개정안을 공포하며 본격 CSAP 제도에 변화를 알렸다.

당시 정부는 데이터 민감도에 따라 클라우드 시스템 중요도를 상, 중, 하로 구분하는 작업을 추진하겠다고 밝혔다. 당시 정부는 상 등급의 평가 기준을 강화하고, 중 등급은 현행 수준을 유지하고, 하 등급은 완화하는 기조를 끌고 가겠다고 설명했다.

하 등급에 외국계 기업들이 진출할 물꼬를 튼 셈이다. 하 등급은 지난해 고시 개정으로 우선 시행됐고, 상·중 둥급은 관계부처 실증과 검증을 거쳐 보안인증 평가 기준을 마련하는 작업을 거쳐왔다. 국정원의 보안 진단 결과도 실증 과정에 적용됐다.

이 과정에서 정부는 ▲정보보안(ISO 27001) ▲클라우드 보안(27017) 등 국제표준 인증과 ▲미국 FedRAMP 등의 평가 항목을 분석하고 추가 보완이 필요한 기준을 도출하는 작업을 수행했다.

약 1년의 시간이 흐른 지금, 정부는 상·중등급 평가 기준을 반영한 개정안을 내놓았다. 과학기술정보통신부는 CSAP 상·중등급 평가 기준이 반영된 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 이달 6일부터 26일까지 행정예고 한다.

상 등급은 안보와 외교 등 국가 중대 이익과 행정 내부 업무 등을 운영하는 상 등급 시스템의 업무 중요도를 고려해 평가 항목 4개가 새로 적용된다. 외부 네트워크 차단, 보안감사 로그 통합 관리, 계정 및 접근권한 자동화, 보안패치 자동화 항목이 추가됐다.

중 등급의 경우 과학기술정보통신부가 지난해 1월 예고한 대로 추가된 항목은 없다. 다만 점검 내용을 명확하게 하기 위해 시스템 격리, 물리적 영역 분리 평가항목이 일부 수정된다.

한편 하 등급에 이어 상·중 등급에 대한 개정안이 구체화되면서 클라우드 업계 안팎에서는 지각변동을 예상하는 분위기다.

일단 정부는 '클라우드 네이티브'라는 구호를 앞세워 공공 영역의 체질을 뒤집겠다는 포부를 밝힌 바 있다. 클라우드 환경 위에 기존 인프라를 얹는 것을 넘어, 클라우드 기반으로 주요 애플리케이션과 아키텍처를 전환하는 것이 골자다. 지난해 말 주요 정보시스템이 먹통이 되는 사태가 벌어지면서 클라우드 전환에 속도를 올려야 하는 것이 아니냐는 일부 의견에 힘이 실릴 만큼, 이번 개정안의 실효성에 대한 평가가 이어질 전망이다.