과학기술정보통신부는 지난1월 31일 민간기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증인 클라우드컴퓨팅 서비스 보안인증(CSAP[1]) 일부 개정안을 고시했으며, 현재 시행 중에 있다. 이는 2016년 4월에 「클라우드컴퓨팅서비스 정보보호에 관한 기준」이 고시된 이후 7년이 되어가는 시점에서의 개정이다.

[1] CSAP: 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도

이번 개정안의 주요 내용은 공공부문 클라우드 보안인증 체계를 시스템 중요도에 따라 상·중·하 등급으로 나눠 각기 다른 보안 규제를 하겠다는 것이다. 특히 ‘하’ 등급은 물리적 망분리 이외에 논리적 망분리까지 허용하는 것으로 보안 규제를 완화한다.

더욱이 오는 2025년까지 추진될 행정·공공기관 정보시스템 클라우드 전환 사업이 상대적으로 덜 민감한 업무인 ‘하’ 등급부터 시작될 것으로 보여, 국내와 해외 클라우드 서비스 사업자(CSP[2]) 간의 희비가 교차하고 있는 상황이다. 보안규제 완화가 제한된 공공 영역을 개방해 클라우드 시장 전반을 활성화하고 공공 서비스를 혁신하기 위한 결정이라지만, 해외CSP에 비해 상대적으로 경쟁력이 부족한 국내 CSP가 경쟁에서 밀릴 수 있다는 우려도 제기되는 상황이다.

[2] CSP(Cloud Service Provider): 공공 클라우드 인프라, 플랫폼 서비스를 제공하는 업체를 의미한다. CSP는 자체 데이터센터를 구축해 다수의 물리 서버를 가상화해 제공하며 네트워크, 스토리지, 전력 등 서버 운영에 필요한 모든 것을 지원하고 있다. 대표적으로 아마존의 ‘AWS’, 마이크로소프트의 ‘Azure’, 구글의 ‘GCP’ 등이며, 국내기업으로는 네이버클라우드, NHN클라우드, KT클라우드 등이 있다.

이번 헤드라인에서는 클라우드 서비스 보안인증제도가 개정된 배경과 국내/해외 클라우드 사업자(CSP)의 상황, 그리고 이번 개정안으로 변경된 관리/물리/기술적 보호조치 내용에 대해 살펴보고자 한다.

■ 클라우드 서비스 보안인증제도(CSAP) 개편 배경 및 경과

그간 아마존웹서비스(AWS)나 마이크로소프트(MS), 구글 클라우드 등 해외CSP는 한국 시장 진입을 위해 클라우드 서비스 보안인증제도(CSAP)의 규제완화를 꾸준히 요청해왔다. 지난 2022년 5월 조 바이든 미국 대통령이 방한 후 주한미국상공회의소에서 과학기술정보통신부에 클라우드 서비스의 보안인증제도(CSAP) 와 논리적 망분리 허용에 관한 내용이 담긴 공문을 보냈다는 소식이 전해지기도 했다. 이후 국가정보원이 국내 CSP로부터 클라우드 서비스 보안인증제도(CSAP)완화에 대한 의견을 마련하면서, 규제완화에 대한 세부내용이 발표되기 시작했다.

2022년 6월 과학기술정보통신부에서 ‘SW산업의 질적 도약을 위한 국내 SW 기업의 성장 및 해외 진출 지원방안’ 간담회를 열고 클라우드 서비스 보안인증제도(CSAP) 완화·개편 지시와 3분기 내 보안인증제를 완화 계획을 알렸으며, 7월에는 과학기술정보통신부에서 보안인증을 상·중·하 등급으로 세분화한 계획을 발표, 8월에는 보안인증제 등급 및 완화 차등 적용을 공식화했다.

같은 해 11월 과학기술정보통신부는 클라우드 보안인증 개편안 설명회를 개최하며 클라우드 보안인증 평가기관 지정계획, 인증평가 수수료의 부과 및 지원계획 등 고시 개정에 따른 주요 변경사항과 함께 기존의 보안인증 과정에서 기업이 부담을 호소했던 인증 평가 방식에 대한 개선 계획을 안내했다.

이러한 과정 중 보안인증과 관련하여 국내 CSP와 회의를 진행하려 했지만 대다수의 업체들이 불참하였고, 도리어 국내 CSP는 국정감사에서 정부가 추진하는 클라우드 서비스 보안인증제도 개편에 대해 ‘글로벌 추세 역행’이라고 비판하며 제도적 보완을 요구하기도 했다.

이후 2022년 12월 과학기술정보통신부는 「클라우드컴퓨팅 서비스 보안인증에 관한 고시」일부 개정안 행정예고를 2023년 1월 18일까지 하였고, 최종으로 2023년 1월 31일에「클라우드컴퓨팅 서비스 보안인증에 관한 고시」(과학기술정보통신부 고시 제 2023-3호)를 일부 개정하여 고시했다.

과학기술정보통신부가 밝힌 개정 이유는 “공공부문의 민간 클라우드 이용 활성화를 위해 국가기관 등의 시스템을 3등급으로 구분하고 등급별로 차등화 된 보안인증기준을 적용하는 클라우드 보안인증 등급제 도입을 위해 필요한 사항을 정하기 위함”이라고 전했다.

■ 클라우드 서비스 보안인증제도(CSAP) 개정 사항

2023년 1월 31일에 고시된 주요 개정내용은 크게 3가지로 구분된다.

가. 기존 클라우드 보안인증의 등급제 신설(제14조 개정)

- 클라우드컴퓨팅 서비스의 정보보호 수준에 따라 보안인증 기준을 차등화해 적용하는 등급제(상등급, 중등급, 하등급) 시행 근거 마련

나. 보안인증 유형 및 등급에 따른 세부 점검항목을 공개(제15조 개정)

- 클라우드 보안인증 유형 및 등급에 따라 보안인증기준 내에서 세부 점검항목을 공개할 수 있는 근거 마련

다. 클라우드 보안인증의 등급화에 따른 보안조치 개정(별표 1, 2, 3, 4, 7)

- 관리적, 물리적, 기술적, 국가기관 등이 이용하는 클라우드컴퓨팅 서비스 보호조치 개정

개정된 클라우드 서비스 보안인증제도(CSAP)를 살펴보면

첫 번째, 「클라우드컴퓨팅 서비스 보안인증에 관한 고시」 제14조(보안인증 유형 및 등급)의 내용을 보면 클라우드컴퓨팅 서비스 보안인증 유형 4가지와 3개의 등급으로 나눈다.

보안인증의 유형은 다음과 같다.

위 보안인증의 유형에 따라 보안인증 등급은 기존 IaaS, SaaS(표준등급), SasS(간편등급), PaaS에서 개정 후 상, 중, 하로 구분한다.