국정원, 민간 클라우드 보안서비스 공공 문턱 낮췄다

웹방화벽·스팸차단 SECaaS

CSAP 받으면 기관도입 OK

CC인증·보안기능확인 면제

6월14일~2024년말 한시적

민간 클라우드 기반 보안서비스(SECaaS)가 공공기관 공급의 '문턱'을 넘기 쉬워진다. 클라우드보안인증(CSAP)을 보유한 클라우드 기반으로 제공될 경우, 공통평가기준(CC)인증·보안기능확인서 같은 사전인증 없이 공공기관 도입이 가능해진다.

9일 국가정보원 관계자는 "기관 도입 클라우드 보안서비스의 경우 한국인터넷진흥원(KISA)의 인증과, 과기정통부의 'CC인증' 또는 우리 원의 '보안기능확인서'를 (각각) 받아야 했는데, KISA 인증을 받으면 일시적으로 나머지를 안 받아도 되도록 했다"고 밝혔다.

실제로 국정원은 최근 '클라우드 보안서비스 도입기준 변경 공지'를 통해, 오는 14일부터 2024년 12월 31일까지, KISA의 CSAP가 유효한 민간 클라우드 기반의 SECaaS는 사전인증 없이 각급 기관에 도입될 수 있다고 안내했다.

여기서 말하는 '사전인증'이 특정한 유형의 정보보호제품에 대한 CC인증 부여 또는 보안기능확인서 발급 절차를 뜻한다. 이 절차는 짧게는 수개월에서 길게는 1년 이상 걸려, 해당 정보보호제품의 빠른 초기 확산을 어렵게 하는 요인이었다.

국정원의 '보안기능확인서 발급신청가이드'에 따르면 사전인증을 필요로 하는 정보보호제품 유형은 웹방화벽, 스팸메일차단시스템, 네트워크접근제어(NAC) 등 다양하다. 이런 SECaaS의 경우 CSAP 인증만으로 기관에서 도입이 가능해진다.

SECaaS는 정보보호제품의 보안 기능을 클라우드 환경에서 제공하는 서비스다. 클라우드 서비스형 소프트웨어(SaaS)의 일종이나, 그 핵심적인 기능·동작이 정보보호제품 유형에 해당하는 것을 지칭한다.
 

[사진=게티이미지뱅크]