정부, 공공 클라우드 검증 절차 일원화…"인증 기간 단축 기대"

민간 기업이 공공 클라우드 부문을 진출할 때 거쳐야 하는 보안 검증 절차가 간소화된다. 정부는 기업의 부담을 덜어주기 위해 이중 보안인증 절차를 단일화할 방침이다.

20일 과학기술정보통신부(과기정통부)와 국정원은 공공 클라우드 시장 진입 시 필요한 검증 절차를 국정원 단일 검증체계로 일원화 한다고 밝혔다. 지금까지는 클라우드 서비스 기업이 공공 시장에 진입하려면 과기정통부의 '클라우드보안인증'(CSAP)를 먼저 취득하고 국정원의 '보안 검증'도 거쳐야 했다. 김창섭 국정원 3차장은 지난 17일 기자 간담회를 통해 "이번 정책으로 그간 이중규제로 불편을 겪어온 기업의 애로사항을 해결하고 공공용 클라우드의 보안 수준을 높이는 데 주안점을 뒀다"고 설명했다.

이번 제도 개편은 클라우드 서비스 기업의 행정적 불편을 줄이는 데 초점을 맞췄다. 단일 검증체계가 시행되기 전에 CSAP 인증을 받은 제품의 경우 유효기간이 그대로 인정된다. 아울러 검증항목도 클라우드 기술 특성에 맞게 개선해 공공 클라우드 보안 수준은 강화하고 기업의 부담은 경감한다는 게 정부의 방침이다.

또 신규 검증제도의 원활한 시행을 위해 과기정통부 추천 인사 등 관계기관 및 산·학·연 전문가로 구성된 '민관 검증심의위원회'가 검증 결과의 공정성 및 타당성 여부를 평가할 계획이다. 클라우드 보안 검증 운영지침과 클라우드 검증 항목 안내서 등도 제정 및 대외에 공개할 예정이다. 또한 기존 CSAP 평가기관을 신규 검증제도 평가기관으로 활용해 전문성과 행정 연속성도 확보한다.

단일 검증 체계는 유예 기간을 두고 내년 하반기부터 본격 시행한다. 정부는 올해 상반기 중 이같은 내용을 담은 '국가 클라우드컴퓨팅 보안 가이드라인'을 개정하고 1년간 유예기간을 거치기로 했다. 국정원은 내년 상반기 검증제도 운영 지침·검증 해설서 등 제정 및 클라우드 보안 가이드라인을 개정할 계획이다. 국정원 관계자는 "내년 상반기 중 클라우드 서비스 기업의 공공 클라우드 시장 진입 절차의 간소화 단계 가능성도 있다"며 "이번 제도 개편을 통해 인증 기간은 단축될 것"이라고 말했다.

민간 클라우드 시장 진출에 대한 절차도 통합한다. 민간 영역은 기업의 정보보호관리체계(ISMS)에 클라우드 서비스 분야 자율 보안인증으로 통합 조성한다는 방침이다. 이번 체계 전환을 통해 인증 간 유사 보안 기준을 하나로 통합하고 행정 절차 효율성을 극대화할 예정이다.

류제명 과기정통부 2차관은 "국정원과 협력해 부처 간 칸막이를 과감히 허물었다"며 "우리 기업이 보안 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다"고 밝혔다. 김창섭 국정원 3차장은 "기업 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것"이라고 강조했다.

공병선 기자 mydillon@asiae.co.kr