'이중 인증' 걷어낸 공공 클라우드…‘상·중·하’ 등급 대신 ‘CSO’ 도입

등록 2026.04.20 14:00:00수정 2026.04.20 14:44:24

[일문일답] CSAP+국정원 이중 검증 절차, 내년 7월 단일 체계로 개편

CSAP 상·중·하 등급, 국정원 CSO 체계로 재편…"정책 정합성 확보"

기준 통합으로 외산 진입 여건 변화 주목…"정부 협의중"

민간 클라우드 영역도 체질 개선…이름 바꾸고 등급도 변화

[서울=뉴시스] 김금보 기자 = 지난 7월 26일 서울 종로구 대한민국역사박물관에서 열린 한미동맹70주년 기념 특별전에 태극기와 성조기가 펄럭이고 있다. 2023.07.26. kgb@newsis.com *재판매 및 DB 금지

[서울=뉴시스] 김금보 기자 = 지난 7월 26일 서울 종로구 대한민국역사박물관에서 열린 한미동맹70주년 기념 특별전에 태극기와 성조기가 펄럭이고 있다. 2023.07.26. [email protected] *재판매 및 DB 금지

[서울=뉴시스]심지혜 기자 = 내년 7월부터 공공 클라우드 시장에 진입하려는 기업들의 발걸음이 한층 가벼워질 전망이다.

과학기술정보통신부의 CSAP(클라우드 보안인증)를 따로 받지 않아도 국정원 보안 검증 한 번이면 공공기관에 서비스를 공급할 수 있게 된다.

과기정통부와 국정원은 20일 이 같은 내용을 담은 ‘공공 클라우드 보안 검증 체계 개편안’을 발표했다. 이번 개편의 핵심은 ‘절차의 간소화’와 ‘등급 체계의 전환’이다.

‘상·중·하’ 대신 ‘CSO’.. 데이터 성격 따라 보안 결정

가장 큰 변화는 등급 체계다. 기존 CSAP 인증의 ‘상·중·하’ 등급은 앞으로 ‘CSO’ 체계로 재편된다. CSO는 업무 정보의 중요도에 따라 기밀(C), 민감(S), 공개(O)로 분류하는 국정원의 새로운 보안 기준이다.

정부는 기존 등급제와 CSO 체계 사이의 혼란을 막기 위해 정책 정합성을 맞추는 데 주력할 계획이다. 민간 시장에서 이미 적응한 기준들을 최대한 반영해 시장의 충격을 줄이겠다는 구상이다.

글로벌 빅테크 ‘중·상’ 등급 진입로 열릴까

업계의 시선은 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 등 글로벌 빅테크 기업들에 쏠려 있다. 이들은 이미 논리적 망 분리만으로 가능한 ‘하’ 등급 인증을 확보한 상태다.

하지만 진짜 알짜배기 시장인 ‘중·상’ 등급은 여전히 벽이 높다. 특히 ‘상’ 등급은 서버를 물리적으로 따로 떼어놓아야 하는 엄격한 요건이 적용된다. 미국 정부 등 해외 사업자들은 이 요건을 완화해달라고 지속적으로 요구해 왔다.

국정원은 “국내외 기업에 동일한 기준을 적용한다”는 원칙을 고수하면서도, 세부 가이드라인 개정을 통해 구체적인 진입 장벽의 높이를 조정할 계획이라고 밝혔다.

다음은 과기정통부, 국정원 관계자와의 일문일답이다

-검증 체계 통합으로 기존 상·중·하 등급이 CSO 체계로 전환된다고 하는데, 어느 수준의 변화인지

"상·중·하 등급에 준하는 CSO 체계를 설계하는 방향으로 검토 중이다. 기존 상·중·하 체계가 CSO로 전환되더라도 문제가 없도록 정책을 설계하고 있다. 민간 시장에서도 이미 상·중·하 기준이 적용되고 있는 만큼 시장 혼란을 최소화하도록 설계할 예정이다."

-통합되면 검증 항목이 압축된다고 하는데, 해외 사업자의 진입이 쉬워지게 되는 건지

"보안 검증 기준 자체에는 특정 국가를 배제하는 항목이 없다. 국가계약법 등 조달 체계를 봐도 특정 국가를 지정해 허용하거나 제한하는 구조는 아니다. 또 국내는 되고 해외는 안된다 하는 기준도 없다."

-해외 사업자들은 중·상 등급에서 국내 데이터센터 요건 등이 유지될지 여부에 관심이 있는데

"현재 정부 내에서 관련 사항을 논의 중이다. 구체적인 기준은 협의 결과에 따라 보안 가이드라인이 개정될 것이다. 그 때 발표할 수 있을 것으로 본다."

-필수 보안 요건 중심으로 보안검증 기준을 최소화한다고 했는데 어느 정도 수준을 의미하나

"기존 CSAP 인증은 공통 요건과 공공 보안 요건이 하나로 묶여 있는 구조다. 이번 일원화 검증에서는 공공 보안 요건 중심으로 검증이 이뤄지게 된다.

기업 입장에서는 공공 서비스 제공에 필요한 핵심 보안 요건에 맞춰 대응하면 된다. 이에 기존처럼 공통 보안 요건까지 모두 충족해야 하는 부담이 줄어든다. 전체 항목 기준으로 보더라도 검증 범위가 축소된다. 검증을 위한 기간이나 비용 부담도 줄어들 것으로 예상된다."

-정식 시행까지 기존 인증 유효기간을 인정한다고 했는데, 과도기 기간 동안 공공기관이 도입을 미루는 상황은 없겠나

"공공기관의 정보화 사업은 매년 예산이 확정되는 구조다. 민간 클라우드 전환에 필요한 예산도 연 단위로 편성되기 때문에, 제도 시행을 이유로 사업을 장기간 미루는 구조는 아니다. 계획된 사업은 일정에 맞춰 추진되는 만큼 과도기 기간에 대한 우려는 크지 않을 것으로 보고 있다."

-민간 영역의 보안 인증은 어떻게 바뀌나

"CSAP 체질이 바뀌는 만큼 이름도 바뀐다. ISMS 체계에 통합하는 것으로 클라우드 특화 보안 기준을 ISMS에 모듈 형태로 추가해 운영한다. 기존 CSAP에도 ISMS 일부 항목과 중첩된 부분이 있었다."

-민간 인증이 ISMS 체계에 들어오게 되면, 여기에서 적용 중인 표준·간편·강화 등급과 비슷하게 되는 건가

"등급에는 변화가 있을 것이다. 일단 CSAP는 민간 영역만 담당하면서 사업자가 자율로 받는 구조가 된다. 표준 또는 간편 인증 단계에서 클라우드와 관련된 기준이 모듈화 되는 방식으로 운영된다고 보면 된다."

◎공감언론 뉴시스 [email protected]