14일 열린 클라우드컴퓨팅서비스 정보보호에 관한 기준 개정안 설명회 이상무 KISA 클라우드인증팀장이 개정되는 고시에 대해 소개하고 있다.[사진=이상우 기자]
내년부터 공공기관이나 민간 사업자도 자격 요건을 갖추면 클라우드 보안인증(CASP) 평가기관으로 활동할 수 있다. 기존의 평가·인증기관인 한국인터넷진흥원(KISA)는 인증업무에 주력하고, 평가기관 지정을 확대해 늘어나는 클라우드 수요에 대응할 전망이다.
14일 과학기술정보통신부와 한국인터넷진흥원은 클라우드컴퓨팅서비스 정보보호에 관한 기준 개정안 설명회를 열었다.
정부는 올해 1월 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드킴퓨팅법)'을 개정해 내년 1월 12일 시행할 예정이다. 가장 큰 변화는 CSAP 제도다. 그간 고시에 근거해 운영하던 CSAP 관련 사항을 상향 입법해 법적 근거를 명확히 했다.
◆KISA 평가·인증업무 분리...민간 평가기관 지정
주요 내용을 살펴보면 그간 KISA가 수행하던 CSAP 평가·인증업무 중 평가 부분에 대해 민간기업이나 타 공공기관을 '평가기관'으로 지정하고 관련 업무를 수행하도록 했다. KISA는 인증위원회를 구성하고 '인증기관' 역할을 한다. 향후 인증 수요가 증가할 경우 인증기관을 추가로 지정할 계획도 있다.
설재진 과기정통부 사이버침해대응과 과장은 "이번 개정을 통해 클라우드컴퓨팅 선도국가 도약을 위한 제도적 기반을 마련하는 것이 목적"이라며 "이번 개정으로 보안 인증과 인증 취소, 인증·평가기관 지정, 인증 수수료 부과 등에 대한 법적인 근거가 마련될 것"이라고 밝혔다.
향후 CSAP 인증을 획득하려는 클라우드 서비스 기업(신청기관)은 신규 지정될 평가기관을 통해 각종 요소를 점검받는다. 평가 내용은 인증기관인 KISA로 전달돼, 인증위원회를 통해 검토한다. 이후 KISA는 해당 결과를 클라우드 서비스 기업에게 알려주는 방식이다.
과기정통부는 내년 4월 평가기관 선정을 목표로 논의를 진행 중이라고 밝혔다. 다만 현재까지 구체적인 평가기관 규모 등은 정해지지 않았다. KISA를 통해 신청접수를 받고, 평가 수요, 현황, 역량 등을 모두 고려해 선정할 계획이다. 내년 1월 시행되는 고시 개정안에는 평가기관 선정 방법, 제출 서류, 업무수행 요건 등 심사 세부 기준도 마련될 전망이다.
또한 공정성을 위해 인증기관이나 평가기관은 영리 목적의 컨설팅 업무를 수행해서는 안되며, 이익을 위해 인증 절차와 기준을 생략하거나, 평가에 영향을 줘서는 안 된다는 내용도 포함돼 있다. 이러한 위반에 대해서도 평가·인증기관 지정을 취소하는 내용도 개정안에 담았다.
신청기관에 대한 인증을 수행할 때 평가기관과의 이해관계 등으로 수행이 어려울 경우 KISA 혹은 다른 평가기관을 통해 인증을 수행할 수 있다.
◆인증 신청기관에 수수료 부과...중소기업 대상 수수료 지원 검토
기존 CSAP 인증은 무료로 제공해왔으나, 내년 1월부터는 수수료를 부과할 예정이다. 향후 선정될 평가기관은 수수료 산정 기준에 따라 이를 각 홈페이지에 공지해야 한다. 수수료는 직접인건비, 제경비, 기술료, 직접경비 등으로 구성된다. 인증 신청기관이 중소기업법에 적용된다면 수수료 중 50~70%를 지원받을 수도 있다.
이상무 KISA 클라우드인증팀장은 "평가팀과 취약점 점검 인원 등이 여러 날 파견돼 심사하면 상당한 인건비가 발생할 수 있는 상황이다. 중소기업에 대한 수수료 지원 방안에 대해선 현재 의견을 수렴하고 있는데, 우선 반기별 1회로 신청을 받아 선정 기업 대상으로 수수료를 지원하는 방식을 고려하고 있다"고 밝혔다.
인증획득 이후 사후평가에 대해서는 보안취약점에 대한 자율점검을 인정하는 방안도 고려하고 있다. 하드웨어나 소프트웨어 인증과 달리, 클라우드는 정해진 형태가 없는 서비스다. 이에 따라 보안 위협 환경도 수시로 변하기 때문에 인증 획득 이후 매년 사후평가도 필요하다.
사후평가에서도 취약점 점검을 위한 외부 인력이 투입되는데, 이에 따른 인건비 상승분도 있다. 따라서 취약점 자체점검을 인정하면 사후평가 수수료를 줄일 수 있을 것으로 전망된다.
인증 절차에 대한 간소화 역시 추진한다. KISA에 따르면 인증 신청기관이 앞서 SaaS 인증이나 받았거나 정보보호관리체계 인증(ISMS-P)을 받은 경우 등 정보보호조치를 취한 것으로 판단해 CSAP 인증 중 일부를 생략할 수 있다.
SaaS 인증의 경우 서비스가 동작하는 IaaS를 변경할 경우 모든 평가 항목을 다시 심사해야 했다. 하지만 향후 중복 항목을 제외하고 평가 항목을 약 40% 간소화할 수 있을 것으로 기대된다.
앞서 정부는 CSAP에 보안 등급을 3단계로 나누는 등급제를 도입할 계획이라고 밝힌 바 있다. 서비스 성격에 따라 보안 등급을 구분하고, 중소 SaaS 사업자 등의 진출을 활성화하는 것이 목표다.
과기정통부에 따르면 현재 CSAP 등급제 도입을 위해 업계 및 관계부처의 의견을 수렴하는 연구반을 구성했다. 늦어도 내년 상반기에는 등급을 나누는 구체적인 방안이 마련될 전망이다.
이의미 과기정통부 사이버침해대응과 사무관은 "현재 과기정통부는 디지털플랫폼정부위원회와 관련 내용을 논의하고 있다"고 밝혔다.
14일 과학기술정보통신부와 한국인터넷진흥원은 클라우드컴퓨팅서비스 정보보호에 관한 기준 개정안 설명회를 열었다.
정부는 올해 1월 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 클라우드킴퓨팅법)'을 개정해 내년 1월 12일 시행할 예정이다. 가장 큰 변화는 CSAP 제도다. 그간 고시에 근거해 운영하던 CSAP 관련 사항을 상향 입법해 법적 근거를 명확히 했다.
◆KISA 평가·인증업무 분리...민간 평가기관 지정
주요 내용을 살펴보면 그간 KISA가 수행하던 CSAP 평가·인증업무 중 평가 부분에 대해 민간기업이나 타 공공기관을 '평가기관'으로 지정하고 관련 업무를 수행하도록 했다. KISA는 인증위원회를 구성하고 '인증기관' 역할을 한다. 향후 인증 수요가 증가할 경우 인증기관을 추가로 지정할 계획도 있다.
설재진 과기정통부 사이버침해대응과 과장은 "이번 개정을 통해 클라우드컴퓨팅 선도국가 도약을 위한 제도적 기반을 마련하는 것이 목적"이라며 "이번 개정으로 보안 인증과 인증 취소, 인증·평가기관 지정, 인증 수수료 부과 등에 대한 법적인 근거가 마련될 것"이라고 밝혔다.
향후 CSAP 인증을 획득하려는 클라우드 서비스 기업(신청기관)은 신규 지정될 평가기관을 통해 각종 요소를 점검받는다. 평가 내용은 인증기관인 KISA로 전달돼, 인증위원회를 통해 검토한다. 이후 KISA는 해당 결과를 클라우드 서비스 기업에게 알려주는 방식이다.
과기정통부는 내년 4월 평가기관 선정을 목표로 논의를 진행 중이라고 밝혔다. 다만 현재까지 구체적인 평가기관 규모 등은 정해지지 않았다. KISA를 통해 신청접수를 받고, 평가 수요, 현황, 역량 등을 모두 고려해 선정할 계획이다. 내년 1월 시행되는 고시 개정안에는 평가기관 선정 방법, 제출 서류, 업무수행 요건 등 심사 세부 기준도 마련될 전망이다.
또한 공정성을 위해 인증기관이나 평가기관은 영리 목적의 컨설팅 업무를 수행해서는 안되며, 이익을 위해 인증 절차와 기준을 생략하거나, 평가에 영향을 줘서는 안 된다는 내용도 포함돼 있다. 이러한 위반에 대해서도 평가·인증기관 지정을 취소하는 내용도 개정안에 담았다.
신청기관에 대한 인증을 수행할 때 평가기관과의 이해관계 등으로 수행이 어려울 경우 KISA 혹은 다른 평가기관을 통해 인증을 수행할 수 있다.
◆인증 신청기관에 수수료 부과...중소기업 대상 수수료 지원 검토
기존 CSAP 인증은 무료로 제공해왔으나, 내년 1월부터는 수수료를 부과할 예정이다. 향후 선정될 평가기관은 수수료 산정 기준에 따라 이를 각 홈페이지에 공지해야 한다. 수수료는 직접인건비, 제경비, 기술료, 직접경비 등으로 구성된다. 인증 신청기관이 중소기업법에 적용된다면 수수료 중 50~70%를 지원받을 수도 있다.
이상무 KISA 클라우드인증팀장은 "평가팀과 취약점 점검 인원 등이 여러 날 파견돼 심사하면 상당한 인건비가 발생할 수 있는 상황이다. 중소기업에 대한 수수료 지원 방안에 대해선 현재 의견을 수렴하고 있는데, 우선 반기별 1회로 신청을 받아 선정 기업 대상으로 수수료를 지원하는 방식을 고려하고 있다"고 밝혔다.
인증획득 이후 사후평가에 대해서는 보안취약점에 대한 자율점검을 인정하는 방안도 고려하고 있다. 하드웨어나 소프트웨어 인증과 달리, 클라우드는 정해진 형태가 없는 서비스다. 이에 따라 보안 위협 환경도 수시로 변하기 때문에 인증 획득 이후 매년 사후평가도 필요하다.
사후평가에서도 취약점 점검을 위한 외부 인력이 투입되는데, 이에 따른 인건비 상승분도 있다. 따라서 취약점 자체점검을 인정하면 사후평가 수수료를 줄일 수 있을 것으로 전망된다.
인증 절차에 대한 간소화 역시 추진한다. KISA에 따르면 인증 신청기관이 앞서 SaaS 인증이나 받았거나 정보보호관리체계 인증(ISMS-P)을 받은 경우 등 정보보호조치를 취한 것으로 판단해 CSAP 인증 중 일부를 생략할 수 있다.
SaaS 인증의 경우 서비스가 동작하는 IaaS를 변경할 경우 모든 평가 항목을 다시 심사해야 했다. 하지만 향후 중복 항목을 제외하고 평가 항목을 약 40% 간소화할 수 있을 것으로 기대된다.
앞서 정부는 CSAP에 보안 등급을 3단계로 나누는 등급제를 도입할 계획이라고 밝힌 바 있다. 서비스 성격에 따라 보안 등급을 구분하고, 중소 SaaS 사업자 등의 진출을 활성화하는 것이 목표다.
과기정통부에 따르면 현재 CSAP 등급제 도입을 위해 업계 및 관계부처의 의견을 수렴하는 연구반을 구성했다. 늦어도 내년 상반기에는 등급을 나누는 구체적인 방안이 마련될 전망이다.
이의미 과기정통부 사이버침해대응과 사무관은 "현재 과기정통부는 디지털플랫폼정부위원회와 관련 내용을 논의하고 있다"고 밝혔다.
