공공 클라우드 ‘이중 인증’ 폐지…국정원 단일 검증 체계 전환

해당 이미지는 AI로 제작함.

정부가 공공 클라우드 시장 진입을 가로막던 이중 보안 인증 절차를 단일 체계로 개편한다. 공공 분야 보안은 강화하면서도 기업 부담을 줄이겠다는 취지다.

과학기술정보통신부와 국가정보원은 공공 클라우드 서비스 기업이 거쳐야 하는 검증 절차를 ‘국정원 단일 검증 체계’로 일원화하는 개선 방안을 20일 발표했다.

그동안 기업이 공공 시장에 진입하려면 과기정통부 클라우드보안인증(CSAP)을 취득한 뒤 국정원의 보안검증까지 추가로 받아야 했다. 정부는 이 같은 이중 규제가 기업 부담과 시장 진입 장벽으로 작용했다는 판단 아래 제도 개선을 추진했다.

새 제도에서는 공공 영역 보안 검증을 국정원 기준으로 단일화한다. 다만 기존 CSAP 인증을 이미 받은 제품은 유효기간을 그대로 인정하고, 검증 항목도 클라우드 기술 특성에 맞춰 개선한다. 이를 통해 공공 클라우드 보안 수준은 높이면서 기업 부담은 낮춘다는 계획이다.

정부는 올해 상반기 ‘국가 클라우드컴퓨팅 보안 가이드라인’을 개정하고 1년 유예기간을 거쳐 2027년 하반기부터 본격 시행할 예정이다.

제도 안착을 위해 민관 검증심의위원회도 구성한다. 과기정통부 추천 인사와 관계기관, 산·학·연 전문가가 참여해 검증 결과의 공정성과 타당성을 평가한다. 기존 CSAP 평가기관의 전문성도 새 제도에 연계해 행정 연속성을 확보한다.

민간 영역에서는 정보보호 관리체계(ISMS)를 중심으로 클라우드 자율 보안 인증을 통합한다. 유사한 보안 기준을 하나로 묶어 행정 절차 효율성을 높이고, 기업이 서비스 혁신에 집중할 수 있는 환경을 조성한다는 목표다.

류제명 과기정통부 2차관은 “국정원과 협력해 부처 간 칸막이를 과감히 허물었다”며 “기업들이 보안의 문턱을 쉽고 빠르게 넘도록 지원하겠다”고 말했다. 이어 “제도 전환 기간을 부여해 기존 투자 가치가 유지되도록 산업 생태계의 안정적 성장을 돕겠다”고 밝혔다.