[뉴스토마토 이지은 기자] 내년 7월부터 공공 클라우드 시장 진입 절차가 크게 간소화됩니다. 과학기술정보통신부의 클라우드 보안인증(CSAP)과 국가정보원의 보안 검증으로 나뉘어 있던 이중 구조가 단일 체계로 통합되면서, 기업들은 한 번의 검증만으로 공공기관에 클라우드 서비스를 공급할 수 있게 됩니다. 

 

과기정통부와 국정원은 20일 공공기관용 클라우드 보안 검증 체계를 국정원 중심으로 일원화하는 개편안을 발표했습니다. 신규 제도는 약 1년의 유예기간을 거쳐 내년 7월부터 본격 시행됩니다.

 

그동안 클라우드 기업이 공공 시장에 진입하려면 CSAP 인증을 취득한 뒤 국정원의 보안 검증을 추가로 거쳐야 했습니다. 구조상 유사한 보안 항목을 반복적으로 검증받는 형태였고, 기업들은 인증 준비와 유지에 상당한 시간과 비용을 투입해 왔습니다.

 

 

개편안의 핵심은 공공 보안 요건의 이관입니다. CSAP 인증 체계에 포함돼 있던 공공 보안 기준을 국정원 검증 체계로 옮기면서, 앞으로는 국정원 기준만 충족하면 공공기관 도입이 가능해집니다. 사실상 공공 시장 진입 절차가 원패스 구조로 바뀌는 셈입니다. 

 

공공 서비스에 필요한 보안 요건 중심으로 검증 항목이 재편되고, 정부는 관리·인력·운영 전반을 포함한 기존 포괄적 인증 구조에서 벗어나, 공공 서비스 제공에 필요한 핵심 보안 기준 위주로 최적화해 기업 부담을 줄인다는 계획입니다. 단 기존 인증의 효력은 유지할 방침입니다. 현재 CSAP 인증을 받은 제품은 유효기간(최대 5년) 동안 그대로 인정되며, 유예기간 동안에도 신규 인증 발급은 기존과 동일하게 진행됩니다. 제도 전환으로 인한 시장 혼선을 최소화하겠다는 취지입니다. 

 

민간 인증 체계도 재편됩니다. CSAP은 공공 기능을 분리한 뒤 정보보호관리체계(ISMS)에 통합돼 클라우드 특화 모듈 형태로 운영됩니다. 기업이 필요에 따라 참여하는 자율 인증 방식으로 전환되며, 국제 표준을 반영해 글로벌 경쟁력을 높이겠다는 구상입니다.

 

국정원 중심으로 검증 체계가 일원화되면서 우려의 시각도 나옵니다. 보수적인 조직 특성상 검증 기준이 강화되거나 기술 변화 대응 속도가 늦어질 수 있다는 지적입니다. 이에 대해 국정원 관계자는 "국정원은 기준과 절차만 담당하고, 실제 인증 심사와 결과 평가는 산학연 전문가로 구성된 민간 검증심의위원회가 맡는다"며 "기존 CSAP 평가기관도 그대로 활용해 제도 연속성을 확보하려 한다"고 설명했습니다. 

 

류제명 과기정통부 2차관은 "부처 간 칸막이를 허물고 기업들이 보다 빠르게 공공 시장에 진입할 수 있도록 제도를 개편했다"고 말했습니다. 김창섭 국정원 3차장은 "이중 규제로 인한 기업 부담을 줄이면서도 공공 클라우드 보안 수준은 유지·강화하는 데 초점을 맞췄다"고 강조했습니다.

 

업계에서는 이번 제도 개편에 따른 시장 영향도 주목하고 있습니다. 공공기관의 클라우드 전환 수요가 위축될 수 있다는 우려와 함께, 외산 클라우드 기업의 시장 진입 환경 변화에도 관심이 쏠립니다.

 

정부는 수요 위축 가능성에 선을 그었습니다. 정부 관계자는 "공공기관의 클라우드 전환 예산은 연 단위로 집행되는 만큼, 제도 시행을 기다리기보다 기존 체계에 따라 사업이 진행될 것"이라고 설명했습니다.

 

외산 클라우드 사업자와 관련해서는 신중한 입장을 유지했습니다. 현재 아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 등은 CSAP 하 등급을 통해 제한적으로 공공 시장에 진출해 있으며, 물리적 망분리 규정 등으로 상·중 등급 진입은 제한돼 있습니다. 국정원 관계자는 "보안 기준에는 특정 국가 사업자를 배제하는 항목은 없다"고 말했습니다.  

 

이지은 기자 jieunee@etomato.com