[사진=게티이미지뱅크]
3일 본지 취재를 종합하면, 국정원은 일부 인증 등급에 '논리적 망 분리' 허용을 포함하는 CSAP 등급제 시행 일정에 맞춰 국가·공공기관 정보시스템의 중요도를 판별·분류하는 데 근간이 될 행정 기준·절차를 1월 안에 마련할 계획이다. 이는 '물리적 망 분리'와 같은 주요 보안 기준을 유지해야 클라우드에서도 국가 안보가 보장될 수 있다고 했던 과거 인식을 크게 바꾼 셈이다.
국정원 관계자는 과학기술정보통신부 CSAP 등급제 관련 대응 계획 문의에 "2023년 1월 말 '국가정보보안기본지침' 개정을 통해 관계부처와 협의해 '시스템 중요도 분류 기준 및 절차(이하 분류기준·절차)'를 마련할 계획"이라고 답했다. 이 관계자는 "민간 클라우드를 이용하려는 국가·공공기관은 이 분류기준·절차에 따라 시스템을 상·중·하 등급으로 자체 분류할 계획"이라고 덧붙였다.
즉 국정원이 마련하는 분류기준·절차는 앞으로 민간 클라우드를 도입하려는 국가·공공기관이 보유 정보시스템의 중요도를 자체 판단해 분류하기 위한 근거가 된다. 각 정보시스템은 분류된 중요도에 맞는 등급의 보안인증을 취득한 민간 클라우드 서비스를 활용해야 한다. 글로벌 클라우드 기업도 현행 대비 기준이 완화된 보안인증 등급을 취득해 공공 시장에 진입할 가능성이 생긴다.
과기정통부는 1월 18일까지 등급제 관련 고시 개정안 행정예고 후 1월 하순 개정된 고시를 발령할 계획이다. 그런데 작년 말 본지가 입수한 'CSAP 제도개선 추진계획' 문건에 따르면, 이미 과기정통부는 개정된 고시 발령과 동시에 개정된 국가정보보안기본지침도 시행될 것으로 전제하고 있다. CSAP 등급제 시행을 앞두고 두 부처 간 긴밀한 협의가 이뤄졌음을 짐작케 하는 대목이다.
국정원의 또다른 협의 대상인 행정안전부도 민간 클라우드를 도입하려는 국가·공공기관을 규율하는 '행정기관 및 공공기관 정보시스템 구축·운영 지침'을 두고 있지만, 그중 보안에 관한 사항은 국정원의 지침을 준용한다. 국정원이 지침 개정을 결정한 만큼, 정부의 CSAP 등급제 추진일정은 과기정통부 기대에 따라 진행될 공산이 크다. 과기정통부는 1월부터 하(下)등급을 시행하고 이후 8개월간 관계부처 공동 실증사업을 통해 올해 3분기까지 중·상(中·上) 등급도 시행에 들어간다는 방침이다.
CSAP는 민간 기업이 공공 조달 시장에 공급하려는 클라우드 서비스의 안전성·신뢰성을 증명하기 위한 인증 절차다. 기업이 과기정통부 산하기관인 한국인터넷진흥원(KISA)에 인증을 신청하고 몇 달간 절차를 밟으면, CSAP 평가기준을 충족한 것으로 검증된 클라우드 서비스에 일정한 유효기간을 지정한 '인증서'가 발급된다. 이 인증서가 공공 시장이란 관문을 넘기 위한 '통행증'이다.
정부 구상대로 CSAP 등급제가 시행되면, 올해부터 국가·공공기관은 민간 클라우드 가운데 하등급을 받은 서비스를 '개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템'에 쓸 수 있다. 중등급 서비스를 '비공개 업무자료를 포함하거나 운영하는 시스템', 상등급 서비스를 '민감정보를 포함하거나 행정 내부업무를 운영하는 시스템'에 도입할 수 있다.
중등급은 기존 CSAP 인증을 계승하고, 상등급은 더 보완·강화한 보안인증 평가기준으로 운영하며, 하등급은 망 분리 등 평가기준을 더 완화해 운영한다. 과기정통부는 행정 내부업무를 운영하는 시스템도 실질적인 시스템 중요도에 따라 상등급이 아니라 중등급으로 분류해 현행 CSAP 인증을 계승한 중등급 민간 클라우드 서비스를 쓸 수 있게 할 방침이다.
현행 CSAP는 인증 대상 클라우드 서비스가 제공하는 기술이 소프트웨어(SaaS)인지, 개발 플랫폼(PaaS)인지, 가상데스크톱(DaaS)인지, 서버·스토리지·네트워크 자원(IaaS)인지 구별한다. 처리 데이터 민감도와 운영 목적상 중요도가 천차만별인 공공 정보시스템 가운데 어느 시스템에 어떤 클라우드 서비스가 쓰일 수 있는지 구별하진 않았다. 공공기관용 클라우드의 네트워크를 민간 기업용 클라우드와 물리적으로 분리해야 한다는 물리적 망 분리 요구 때문에 글로벌 클라우드 기업이 인증 취득에 유보적이었다.
[그래픽=김효곤 기자]
