오는 2023년 클라우드컴퓨팅법 개정안 시행에 따라 클라우드보안인증(CSAP) 제도에 변화가 생길 예정이다. CSAP는 과기정통부와 KISA에서 공공기관에 제공되는 민간 클라우드 서비스의 안전성과 신뢰성을 검증하는 제도다. 공공기관을 대상으로 서비스를 제공하는 모든 민간 클라우드 기업들은 필수적으로 인증을 획득해야 한다.

14일 과학기술정보통신부와 한국인터넷진흥원(KSIA)는 서울 중구 공간모아 대회의실에서 설명회를 열고 주요 변경사항 소개 및 이해관계자 의견을 수렴했다. 주요 변경사항은 크게 ▲국가기관 등에서 보안인증 받은 클라우드 우선 고려 ▲클라우드컴퓨팅서비스 보안인증 근거 마련 ▲보안인증 취소 근거마련 ▲인증기관 및 평가기관의 지정 취소 근거 마련 등이다.

그간 고시에 근거해왔던 보안인증 사항을 법률로 규정해 이용 활성화 및 정보보안을 강화하고 클라우드컴퓨팅 선도국가로 도약하겠다는 취지다. 다만 CSAP 등급제 무기한 연기에 대해서는 선을 그었다.

CSAP 등급제, 추가 논의 후 지속 추진

그간 국내 클라우드 업계와 국회는 정부 CSAP 등급제 개편 추진을 두고 비판을 쏟아내왔다. 아마존웹서비스(AWS), 구글클라우드(GCP), 마이크로소프트 등 외국계 클라우드 기업에 공공시장 빗장을 열어주는 조치가 될 것이라는 지적이다.

과기정통부는 지난 8월부터 관련 작업을 진행해왔다. 이는 현재 단일 인증 체계인 CSAP를 시스템 및 데이터 중요도에 따라 3단계로 구분, 하위 등급에 대해선 규제를 완화해주는 점이 골자다. 이를 두고 국내 사업자들과 국회는 경쟁력 저하, 데이터 주권 훼손 등을 꼽으며 제도 개선을 요구해왔다.

과기정통부는 당초 지난 달까지 CSAP 등급제 시행을 위한 세부 기준과 방안을 마련하고, 고시 개정방안을 추진할 예정이었다. 즉, 이날 열린 설명회에 관련 내용이 포함돼야 했던 것이다. 그러나 이날 설명회에서는 CSAP 등급제와 관련된 내용이 설명되지 않았다. 

설재진 과기정통부 사이버침해대응과 과장은 "CSAP 등급제 개편이 무산됐다는건 사실이 아니다"라며 "현재 디지털플랫폼정부위원회를 중심으로 등급제 도입 논의를 하고 있다"고 설명했다.

김정삼 과기정통부 정보보호네트워크정책관은 "여러 부처와 산업계, 전문가 등 다양한 의견과 쟁점을 취합하는 과정에서 10월을 넘기게 됐다"며 "정리가 완료되는 쟁점을 중심으로 제도를 준비할 예정이며, 현재 추가적 협의를 이어가고 있는 상황으로 전면 재검토, 무기한 연기를 결정한 것은 아니다"라고 설명했다.

민간 평가기관 지정·인증 수수료 유료화

이날 과기정통부와 KISA는 내년 1월 12일부터 전면 개편되는 CSAP 내용에 대해 설명했다. 주된 내용은 ▲민간 평가기관 지정 ▲CSAP 수수료 유료화 ▲인증평가 방법 변경 등이다.

가장 눈에 띄는 점은 복수 민간 평가기관을 지정하는 부분이다. 그간 KISA에서 단독으로 평가와 인증을 수행해왔던 기존 체계를 개선해 기업 평가 및 인증에 대한 편의성을 높이기 위한 목적이다.

즉, 평가기관이 CSAP 획득을 원하는 기업의 신청을 받아 관련 절차를 진행하고, 이를 토대로 KISA가 인증 여부만을 결정해 보안인증서를 발급하는 방식이다. 이를 위해 과기정통부는 민간 평가기관 지정을 위한 세부 기준을 마련했다.

이에 따라 평가기관은 4인 이상 평가원을 상시고용해야 하며, 선임평가원 1인 이상을 확보해야 한다. 또 평가 업무수행능력을 4가지 항목을 통해 심사 받아야 한다. 심사기준은 ▲조직 및 전문성(20점) ▲신뢰도(10점) ▲업무수행(62점) ▲시설 및 시스템(8점) 등으로 100점 만점 중 80점 이상을 획득해야 한다. 

뿐만 아니라 KISA 또는 인증기관에 정보보호 및 클라우드 보안 관련 전문가 15인으로 이뤄진 인증위원회를 구성·운영할 예정이다. 이를 통해 인증평가 결과, 인증 취소, 이의 신청 등을 심의·의결한다는 계획이다. 만약 위원이 신청기업과 이해관계가 있는 경우에는 심의·의결에서 제외된다.

그간 무료로 진행돼왔던 CSAP 수수료는 유료화된다. 이에 따라 그간 국가 예산으로만 진행돼왔던 인증 비용을 기업이 일부 부담하게 된다. 인증 평가 수수료는 심사에 투입되는 평가원에 대한 인건비, 제경비, 기술료, 교통비와 숙박비 등 업무에 소요되는 직접 경비 등을 합산해 산정한다. 

다만 국가 지원이 전면적으로 중단되는 건 아니다. 대기업에 대한 지원은 없지만, 중소기업의 경우 수수료 일부를 지원받을 수 있다. 중기업의 경우 수수료의 50%, 소기업은 70%를 지원받는다. 예를 들어 시스템 규모 500대 기준 IaaS, DaaS 서비스 최초·갱신·평가 수수료는 약 512만원인 반면, 중기업 실 부담금은 2555만원, 소기업은 1533만원으로 줄어든다. 같은 기준으로 사후 평가 비용은 2199만원에서 중기업과 소기업 각각 1099만원, 659만원으로 낮아진다. 

최초 인증 획득 기업과 5년 인증기간이 끝나 재발급을 받는 기업에 대한 점검 절차도 차등적으로 적용될 전망이다. 최초로 CSAP를 획득하는 기업의 경우 평가기관에서 관리, 기술, 취약점 점검을 모두 진행하는 반면, 사후평가 기업의 경우 자율적으로 ▲CVE 점검 ▲CCE점검 ▲소스코드 점검 ▲모의침투 테스트 등을 진행한 결과를 인정한다. 이를 통해 정보보호 수준을 유지하면서도 기업 부담을 완화하겠다는 목적이다.

향후 과기정통부는 이같은 주요 변경사항을 순차적으로 추진할 예정이다. 내년 1월에 CSAP 수수료 유료화를 추진하고, 내년 4월에는 CSAP 평가기관 선정을 마무리한다는 계획이다.

김정삼 과기정통부 정보보호네트워크정책관은 "이번 고시 개정은 제도 운영 절차에 대한 법적근거를 마련함과 동시에 복수 평가기관 지정 등을 통해 사업자의 어려움을 경감한 데 큰 의의가 있다"며 "앞으로도 현장의 다양한 의견을 수렵해 안전한 클라우드 이용환경 조성과 산업 활성화를 위한 정책 수립에 적극 반영하겠다"고 말했다.

김가은 기자 7rsilver@techm.kr