과학기술정보통신부(과기정통부)가 클라우드 보안인증 등급제의 상중등급 평가 기준이 반영된 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’일부 개정안을 2월 6일부터 2월 26일까지 행정 예고한다고 밝혔다.

클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공 서비스를 혁신하고 클라우드 산업의 경쟁력을 강화하고자 2023년 1월 도입됐다.

당시 과기정통부는 등급별로 보안인증 평가 기준을 차등화하여 ▲상등급은 기존 평가 기준을 보완·강화 ▲중등급은 현행 수준을 유지 ▲하등급은 합리적으로 완화하는 것으로 발표했다. 이에 따라 하등급 보안인증 평가 기준이 담긴 고시를 개정하면서 하등급을 우선 시행했고 상중등급은 관계 부처와 함께 실증 및 검증을 거쳐 보안인증 평가 기준을 마련하기로 한 바 있다.

이후 과기정통부는 보안인증 실증 사업을 추진하면서 민간 클라우드 이용 환경에 대한 보안성을 검증했다. 과기정통부의 행정내부시스템을 민간 클라우드로 전환한 실증 환경을 구축하고 이를 대상으로 실시한 국정원의 보안 진단 결과를 반영하여 상중등급 평가 기준을 마련했다.

뿐만 아니라 별도의 고시 개정 연구반을 운영하면서 국제 표준 인증(ISO 27001, 27017)과 FedRAMP(미국 연방정부 클라우드 보안인증) 등의 인증 평가 항목을 분석하고 추가 보완이 필요한 평가 기준을 도출했다.

이를 통해 상등급은 국가 중대 이익(안보·외교 등), 행정 내부 업무 등을 운영하는 상등급 시스템의 업무 중요도와 시스템 규모를 고려하여 ▲외부 네트워크 차단 ▲보안 감사 로그 통합 관리 ▲계정 및 접근 권한 자동화 ▲보안 패치 자동화의 평가 항목 4개를 신설했다.

중등급은 추가하는 항목은 없으나 점검 내용을 명확히 하기 위해 ▲시스템 격리 ▲물리적 영역 분리 평가 항목을 일부 수정했다. 또한 상중등급이 시행되더라도 기존에 인증받은 사업자(IaaS, SaaS 표준, SaaS 간편 등)들이 제도 개편으로 인해 겪는 혼란과 불편을 최소화하기 위해 유효 기간 내에서는 중등급으로 인정할 예정이다.

클라우드 보안인증 상중등급 시행과 함께 클라우드 환경 변화에 따른 사업자의 부담 해소를 위한 제도 개선도 추진한다. 클라우드 기술 고도화, 지속적인 자산 규모의 확대 등의 현실을 반영하여 인증 평가 시 의무적으로 받아야 하는 취약점 점검은 평가 기관이 직접 점검하는 방식뿐만 아니라 외부 전문 기관이 점검하는 방식 등도 허용하는 것으로 개선한다.

동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우 중복되는 평가 항목은 생략(40~50% 수준)하고 수수료 할인 폭도 확대(50%)했으며 인증 수수료 유료화에 따른 중소·중견 기업의 부담을 경감시키기 위해 수수료 지원도 강화(최대 70%)할 예정이다.

과기정통부 관계자는 “클라우드 보안인증 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역이 시스템 중요도에 따라 상중하 등급으로 나눠지고 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다”고 말했다.

이어 “본격적인 민간 클라우드 활용에 앞서 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증하여 이용 기관의 보안에 대한 우려를 불식시키고 클라우드 제공 사업자의 전반적인 보안 수준을 높이는 데 역할을 다하도록 하겠다”고 덧붙였다.

과기정통부는 향후 제도가 현장에서 안정적으로 정착될 수 있도록 지속적으로 모니터링하고 제도 운영 과정에서 추가 개선이 필요한 부분은 보완해 나갈 방침이다.

석주원 기자 다른기사 보기