과기부, 클라우드보안등급제 다시 행정예고…"백업 데이터도 국내로 제한"
등록 2023.01.20 09:43:32수정 2023.01.20 15:27:07
업계 '보안 우려' 의견 반영…관리·기술 조치 강화
국가기관 서비스는 '관리·운영 물리적 위치도 국내 한정'
'下 등급 先 시행' 기본 방침은 그대로 유지…이달 공포 가능
![[서울=뉴시스] 과학기술정보통신부는 올해부터 민간 클라우드 이용 노력 의무 대상이 공공기관으로 확대됐다고 밝혔다. (사진=과기정통부) 2023.1.17 *재판매 및 DB 금지](http://image.newsis.com/2023/01/17/NISI20230117_0001177598_web.jpg?rnd=20230117122916)
[서울=뉴시스] 과학기술정보통신부는 올해부터 민간 클라우드 이용 노력 의무 대상이 공공기관으로 확대됐다고 밝혔다. (사진=과기정통부) 2023.1.17 *재판매 및 DB 금지
다만 하 등급에 대한 우선 시행 기조는 기존대로 유지한다는 방침이다.
20일 과학기술정보통신부에 따르면 CSAP 등급제 도입을 위한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안이 30일까지로 재행정예고 됐다. 당초 과기정통부는 지난달 29일부터 이달 18일까지 행정예고 기간을 갖고 이달 내 공포 후 시행할 계획이었다.
이 기간 동안 업계 일부는 하 등급에 대한 보안 우려를 나타내며 함께 상·중 등급과 마찬가지로 실증할 것과 시행 시기를 상·중·하 맞춰야 한다고 주장했다.
과기정통부는 이같은 의견을 일부 수용, 하 등급에 대한 보안성을 강화할 수 있도록 평가 항목을 보완했다. 이에 따라 행정 예고 기간을 10일 더 연장했다.
구체적으로 개정 내용을 살펴보면 관리적 조치에 있어 정보보호를 강화하고 조직 구성이나 침해사고 대응 체계 및 훈련, 복구, 재발방지 부분을 개선하도록 했다. 또 물리적, 기술적 보호조치에 있어서도 보다 엄격히 할 수 있도록 했다.
특히 국가기관등이 이용하는 클라우드컴퓨팅서비스 보호조치에 있어서는 앞서 다소 애매했던 문구를 명확히 했다. 기존에는 클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정한다고만 돼 있었다면 개정안에는 클라우드 시스템, 백업 시스템 및 데이터와 이를 위한 관리·운영 인력의 물리적 위치를 국내로 한정하는 것으로 바꿨다.
CSAP 등급제는 그동안 획일적으로 운영하던 공공부문 클라우드 보안인증 체계를 시스템 중요도에 따라 상·중·하 등급으로 나눠 각기 다른 보안 규제를 하겠다는 것이 골자다.
특히 '하' 등급에 있어서는 보안 규제를 대거 풀어줌으로써 공공 클라우드 시장 혁신을 꾀한다는 포석이다. 이를 위해 기존 민간·공공 영역간 '물리적 분리' 요건을 완화해 '논리적 분리'를 허용하기로 했다.
다만 클라우드 시스템과 데이터의 물리적 위치를 국내로 한정하고 이를 검증하기 위한 평가항목을 추가했다. 데이터 국외 유출 우려를 차단하기 위함이다.
시행 시기는 하 등급은 고시 공포 이후, 상·중 등급은 연내 실시한다. 상·중 등급에 대해서는 안전성과 활용성 등을 고려해 디지털플랫폼정부위원회와 관계부처 공동 실증·검증을 거쳐 세부 평가기준을 보완할 계획이다.
과기정통부 관계자는 "업계 의견을 적극 반영해 하 등급에 대한 보안을 강화했고, 공포하려 했으나 업계에 먼저 안내하는 게 좋을 것 같아 재행정예고를 한 것"이라고 설명했다.
이어 "시행 시기에 있어서는 하 등급을 먼저 하고 상·중 등급은 실증과 검증 이후에 한다는 기본 기조엔 변화가 없다"며 "이를 통해 공공 시장을 혁신하고 클라우드 산업 활성화에 도움이 될 수 있도록 할 것"이라고 강조했다.
그러면서 "재행정예고 기간 동안 특별한 이상이 없다면 이달 내 공포할 예정"이라고 말했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
