내년부터 클라우드 서비스 기업은 보안인증(CSAP) 없이도 공공에 진출할 수 있게 된다.
기존에는 CSAP 획득 후 국가정보원의 보안적합성 검증을 다시 받아야 했지만, 내년부터는 보안적합성 검증만 받으면 공공에 서비스를 제공할 수 있게 된 것이다.
14일 정보보호업계 등에 따르면, 과학기술정보통신부와 국정원은 내년부터 CSAP 없이 공공에 클라우드 서비스를 공급할 수 있도록 제도를 개선하는 데 의견 일치를 봤다.
그간 CSAP는 이중규제를 유발한다는 지적이 제기돼왔다.
공공에 공급되는 정보기술(IT) 제품은 사전에 국정원의 보안성 검토를 받아야 한다.
그런데 클라우드 서비스의 경우 보안성 검토 뿐 아니라 CSAP까지 획득해야 하는 상황이었다. '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률'(클라우드컴퓨팅법)에 따라 국가기관 등은 CSAP를 받은 클라우드 서비스를 우선 고려해야 한다고 명시됐기 때문이다. 이 때문에 기업은 CSAP를 획득한 후 다시 보안성 검토를 거쳐야 해 중복 규제를 받고 있다는 불만이 지속 제기됐다.
이번에 CSAP 없이도 국정원의 보안성 검토를 바로 받을 수 있게 된 만큼 이중규제 문제는 해소될 것으로 보인다.
다만 CSAP 취득 과정에서 검증받은 항목을 보안성 검토에서 제외해 중복 검증은 원천 차단할 계획이다. 이를 통해 기존 CSAP 획득 기업의 불이익을 줄일 방침이다.
새로운 망 보안 체계인 국가망보안체계(N2SF)와 정합성도 추진한다. N2SF는 획일적인 망분리에서 벗어나 업무 중요도에 따라 기밀(C)·민감(S)·공개(O) 등 세 등급으로 나눠 보안을 차등 적용하는 새로운 망 보안 정책이다. 업계에선 N2SF C·S·O 등급과 CSAP의 상·중·하 등급에 대해 정립이 필요하다고 목소리를 높여왔다. 이번에 CSAP 역시 N2SF의 C·S·O 등급을 따르기로 했다.
업계는 이번 클라우드 보안인증 관련 제도 개선에 환영한다는 입장이다.
한 중견 클라우드 업체 대표는 “그동안 CSAP 인증을 받기 위한 시간과 비용을 비롯해 갱신을 위해 유지하는 비용까지 더하면 기업 부담이 상당했다”면서 “보안 심사를 하나의 제도로 통일한 덕분에 신규 서비스 출시 시기도 앞당기고 기술 투자 여력도 생길 것으로 기대된다”고 말했다.
정부는 이르면 내년 상반기께 제도 개선 절차에 착수할 전망이다. 이 과정에서 주요 사항을 업계와 공유할 것으로 보인다.
과기정통부 관계자는 구체적인 내용은 밝힐 수 없다면서도 “클라우드컴퓨팅서비스 보안인증에 관한 고시 등 관련 법령 개정 작업을 진행 중”이라고 말했다.
조재학 기자 2jh@etnews.com
![[PICK! 이 안건] 김남근 등 10인 "효율적으로 가상자산시장 감시하고 불공정거래행위 예방해야"](https://www.jeonmae.co.kr/news/photo/202512/1211449_926298_4712.jpg)
![[AI 신뢰성 얼라이언스 워크숍]신뢰성 인증·평가기관 협의회 출범](https://img.etnews.com/news/article/2025/12/12/news-p.v1.20251212.a05d48872b394308a4deb968cd7ef2f0_P1.jpg)
![[비즈 칼럼] 오늘보다 내일이 더 기대되는 재외동포 민원 서비스](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202512/15/80a6ef46-2449-4c6c-b806-9c05b743c316.jpg)
![[PICK! 이 안건] 백혜련 등 10인 "디지털플랫폼을 통한 불법적 의료광고 제한해야"](https://www.jeonmae.co.kr/news/photo/202512/1210980_925771_2725.jpg)