공공부문서 민간 클라우드 이용 확대…클라우드 보안인증 고시 개정안 도입
이달 26일까지 행정예고…기준 강화된 상등급 및 현행유지 중등급 인증 적용돼
기존 인증 클라우드 사업자는 유효기간 내 중등급 인정…인증 수수료 지원책 마련
- 윤주영 기자
(서울=뉴스1) 윤주영 기자 = 과학기술정보통신부는 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 이달 26일까지 행정예고한다고 6일 밝혔다.
개정안은 지난해 1월 도입된 클라우드 보안인증 등급제의 후속 조치다. 그간 공공 부문에선 민간 클라우드를 활용하기 어려웠는데 등급제를 통해 이용 기반이 마련됐다.
등급제는 클라우드의 보안인증 수준을 상·중·하로 나눠 기존 평가기준을 조정했다. 상등급은 기존에서 보완‧강화, 중등급은 현행 유지, 하등급은 합리적으로 완화한다.
이번 개정안으로 상·중 등급 클라우드 평가기준이 현장에 적용된다. 하등급 기준이 담긴 개정안은 앞서 시행됐다.
과기정통부는 관계 부처와 실증‧검증을 거쳐 상·중 등급 평가기준을 마련했다.
과기정통부의 행정내부시스템을 민간 클라우드로 전환해 실증환경을 구축하고 이를 국정원이 진단하게 했다. 해당 보안진단은 상·중 등급 평가기준에 반영됐다.
또 고시개정 연구반을 운영해 추가 보완이 필요한 평가기준도 도출했다. 국제표준 인증인 ISO 27001(정보보안)·27017(클라우드 보안)과 미국 연방정부 클라우드 보안인증(FedRAMP) 등이 참고됐다.
상등급의 경우 외교·안보 등 국가 중대이익과 관련된 바 4개의 평가항목을 추가했다. △외부 네트워크 차단 △보안감사 로그 통합관리 △계정 및 접근권한 자동화 △보안패치 자동화 항목 등이 요구된다.
중등급은 시스템 격리·물리적 영역 분리 등 평가 항목을 일부 수정해 점검 내용을 명확히 했다.
한편 과기정통부는 제도 변화에서 발생할 수 있는 클라우드 사업자의 부담도 살폈다.
우선 상·중 등급이 시행되더라도 유효기간 내에서는 IaaS, SaaS 표준, SaaS 간편 등 기존 기준으로 인증받은 사업자는 중등급으로 인정받는다.
또 인증평가 시 의무적으로 받아야 하는 취약점 점검을 외부 전문기관에 맡기는 것을 허용한다. 기존에는 평가기관이 직접 점검하는 방식만이 허용됐다.
동일한 서비스가 2개 등급 이상의 평가를 받아야 할 경우 중복 평가항목은 생략하고 인증 수수료도 50% 감면해 준다.
이외에도 인증 유료화에 따른 중소‧중견 기업의 부담을 경감하고자 수수료도 최대 70%까지 지원한다.
과기정통부 관계자는 "시스템 중요도에 부합하는 클라우드 안전성을 철저히 검증해 공공기관의 보안 우려를 해소하겠다"며 "향후 제도가 안정적으로 현장에 정착할 수 있도록 지속적으로 모니터링하고 보완하겠다"고 했다.
legomaster@news1.kr
Copyright ⓒ 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용금지.