공공 클라우드 보안 인증 체계가 전면 개편된다. 과학기술정보통신부 주관의 클라우드 보안인증(CSAP)을 의무 요건에서 자율 인증으로 전환하고, 공공 부문 클라우드 도입에 대한 보안 검증은 국가정보원 중심으로 일원화하는 방안을 조만간 관계부처 합동으로 발표할 예정이다. 단순 제도 정비를 넘어 공공 클라우드 시장의 경쟁 구도를 재편할 수 있는 변수로 떠오르고 있다.
19일 업계에 따르면, 국정원은 공공부문에 도입되는 클라우드에 대한 보안 인증을 국정원이 주도하는 검증 제도로 일원화하는 논의를 진행 중이다. 현재 공공 클라우드 도입의 필수 요건인 CSAP를 사업자가 자율적으로 선택하는 민간 자율 형태로 전환하는 방안도 검토하고 있다. 이렇게 되면 사업자들은 공공에 클라우드 서비스를 제공하기 위해 CSAP 인증을 의무적으로 확보하지 않아도 된다.
이를 통해 이중 규제 요소를 없애고 공공의 클라우드 도입 속도를 높이는 것이 핵심이다. 그간 공공 클라우드 보안 인증은 과기정통부의 CSAP 심사와 국정원의 보안성 검토를 모두 거쳐야 했다. 국정원 보안 체계로 일원화하면 이러한 이중 부담이 해소될 것으로 보인다.
공공 영역에 AI·클라우드와 같은 신기술을 빠르게 도입하기 위한 것으로 풀이된다. 국정원 관계자는 "클라우드 보안 맞춤형 체계로 검증 항목을 간소화할 것"이라면서 "피지컬 AI 등 신기술 AI 서비스에 대해서는 검증 대상에서 제외하는 등 산업 활성화를 위한 방안도 포함된다"고 밝혔다. 관련 내용은 빠른 시일 내에 관계부처 합동으로 발표할 계획이다.
국정원은 기존 CSAP 인증을 이미 획득한 기업의 경우, 해당 인증의 유효기간을 그대로 인정하겠다는 입장이다. 향후 자율로 전환되더라도 CSAP를 획득하면 동일 항목에 대해서는 국정원 검증을 면제하는 방안도 검토 중이다.
그간 CSAP 인증 취득을 위해 선제적으로 투자해 온 사업자들의 우려를 해소하기 위한 조치로 풀이된다. 일부 국내 사업자들은 형평성 문제를 제기해왔다. CSAP 획득을 위해 망분리 인프라 구축 등 설비 투자에 상당한 비용을 투입해 왔는데, 갑작스러운 제도 변경으로 그간의 투자 가치가 희석될 수 있다는 우려에서다.
이 같은 방안이 확정되면 공공 클라우드 시장 지형에 큰 변화가 나타날 전망이다. 우선 인증 체계가 일원화되면 사업자 입장에선 공공 클라우드 도입을 위한 준비 기간과 행정 비용을 크게 줄일 수 있다.
특히 외산 클라우드의 공공 접근성이 높아지느냐가 관건이다. CSAP 인증은 그간 물리적 망분리 등 엄격한 요건을 적용해 해외 사업자의 공공 시장 진입 장벽으로 작용해 왔다. 국정원 검증 체계가 국제 표준 기반으로 재설계되거나 기존 요건이 일부 완화될 경우 글로벌 클라우드 기업의 공공 진출 여건이 개선될 가능성도 있다. 반대로 안보를 최우선시하는 기관 특성상 폐쇄적 보안 요건이 강화될 경우, 시장 영향은 제한적일 수 있다.
변수는 국정원 검증 체계의 구체적인 설계다. 보안 기준을 강화해 국가 안보 중심의 통제 체계를 공고히 할지, 산업 경쟁력과 신기술 확산을 고려해 유연한 구조로 전환할지에 따라 시장 영향이 달라진다. 업계 관계자는 "이번 개편에 따라 보호적 성격이 강했던 공공 클라우드 시장이 기술·가격 경쟁 중심 구조로 전환될 수 있는 분기점이 될 수 있을 것"이라면서 "업계의 의견을 충분히 반영한 제도 개편이 이루어지길 바란다"고 밝혔다.
박진영 기자sunlight@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
