공공 클라우드 보안검증 ‘국정원 단일 체계’로 전환… CSAP 단계적 폐지
||2026.04.20
정부가 ‘클라우드 서비스 보안 인증(CSAP)’을 단계적으로 폐지한다. 공공 부문은 국가정보원(이하 국정원) 단일 검증 체계로 통합하고, 나머지 민간 부문은 ISMS(정보보호 관리체계)로 통합하는 방식이다. 공공 부문은 국정원이 수행하는 ‘클라우드 보안검증’을 중심으로, 민간 부문은 ‘ISMS’ 제도 하에서 자율적 클라우드 보안 인증으로 운영한다는 계획이다. 검증 절차를 통합해 공공시장 진입 속도를 높이고, 시장 혼란을 해소한다는 취지다.
과학기술정보통신부(부총리 겸 과학기술정보통신부장관 배경훈, 이하 과기정통부)와 국정원은 기업들의 공공 클라우드 시장 진입 시 필요한 검증절차를 국정원 단일 검증체계로 일원화한다고 20일 밝혔다. 이를 위해 양 기관은 올해 상반기 중 ‘국가 클라우드컴퓨팅 보안가이드라인’을 개정하고 1년의 유예기간을 거쳐, 2027년 하반기부터 새 검증체계를 본격 시행할 계획이다.
그간 클라우드 서비스 기업이 공공 시장에 진입하려면 과기정통부의 CSAP(클라우드보안인증)를 먼저 취득한 후 국정원의 보안검증도 추가로 받아야 했다. 양 기관은 이 같은 이중 보안인증 구조를 개편하기 위해, CSAP 인증 항목 가운데 공공을 대상으로 한 보안 요건(별첨 4에 해당하는 영역)을 국정원 클라우드 보안검증으로 이관하고, 공통 보안요건은 민간의 ISMS 인증으로 흡수한다고 밝혔다.
개편은 단계적으로 이뤄진다. 내달 신규 검증제도 시행을 예고한 후, 내년 상반기까지 새로운 검증제도 시행을 준비하는 기간을 거친다. 이 기간 검증제도 운영지침과 검증해설서 등을 제정하며, 클라우드 보안 가이드라인 개정 작업도 진행될 예정이다. 2027년 하반기에 신규 제도가 시행될 예정이다. 국정원은 공공 부문 민간 클라우드 대상 신규 보안 검증제도를, 공공부문을 제외한 민간 영역에 대한 CSAP는 기업의 ISMS에 클라우드 서비스 분야 자율 보안인증을 통합하는 방식으로 체계를 정비할 예정이다.
따라서 CSAP 제도 효력이 바로 사라지는 것은 아니다. 내년 하반기 신규 검증체계가 시행되기 직전까지 CSAP 인증을 받은 제품일 경우, 기존 5년의 유효기간을 그대로 인정할 예정이다.
개편 체제 하에서는 과기정통부 추천 인사 등 관계기관 및 산·학·연 전문가로 구성된 민관 검증심의위원회를 운영한다. 국정원 검증결과의 공정성과 타당성을 평가하고, 기존 CSAP 평가기관의 전문성도 새 제도에 연계해 행정의 연속성을 확보할 계획이다. 이밖에 N2SF와의 연계성도 살릴 예정이다. 국정원 담당관은 “CSAP 상·중·하 등급을 국가망보안체계(N2SF)의 기밀(C)·민감(S)·공개(O) 등급과 정합성을 맞추는 방향으로 개편하는 방안도 검토 중”이라고 덧붙였다.
과기정통부와 국정원은 이번 전환을 통해 인증 간 유사 보안기준을 하나로 통합해 행정 절차 효율성을 높이고, 기업이 핵심 서비스 혁신에 보다 집중할 수 있는 비즈니스 환경을 조성할 수 있을 것으로 기대하고 있다.
류제명 과기정통부 2차관은 “국정원과 협력해 부처 간 칸막이를 과감히 허물었으며, 이를 통해 우리 기업들이 보안의 문턱을 쉽고 빠르게 넘을 수 있도록 지원하겠다”며 “특히 기존 기업들의 투자가 헛되지 않도록 제도 전환기간을 부여해 산업 생태계의 안정적 성장을 돕겠다”고 말했다.
김창섭 국정원 3차장은 “이번 정책으로 그간 이중규제로 불편을 겪어온 기업들의 애로사항을 해결하되 공공용 클라우드의 보안 수준을 높이는 데 주안점을 뒀다”며 “기업들의 부담을 완화하는 방향으로 안착할 수 있도록 업계와 지속 소통할 것”이라고 밝혔다.
한편 국정원은 N2SF를 중심으로 한 새로운 ‘국가 사이버보안 기본 지침’을 5월 중 시행할 예정이다. 이번 개정으로 기존 ‘국가 정보보안 기본 지침’ 명칭은 ‘국가 사이버보안 기본 지침’으로 변경되고, 망분리 조항은 삭제되는 대신 C·S·O 세 등급을 기준으로 하는 등급별 보안 체계가 신설된다. 국정원은 지난해 9월 발표된 N2SF 가이드라인 1.0에 담긴 세부 내용을 지침에 반영하고, 민간 클라우드 이용 요건, AI 시스템 보안 대책, 보안 예산·인력 기준 강화 등도 함께 규정할 계획이다.
정종길 기자
jk2@chosunbiz.com
