1.

공공 클라우드 보안 검증 체계 단일화

세부 검증 기준 등 본 개선방안의 구체적인 내용은 아직 공개되지 않았으나, 클라우드 서비스 제공자 입장에서는 기존의 이중 절차가 단일화되는 만큼 공공 클라우드 시장 진입 절차가 보다 간소화될 것으로 예상됩니다. 새로운 검증 제도가 시행되기 전에 이미 CSAP 인증을 받은 제품은 CSAP 인증의 유효 기간을 그대로 인정받을 수 있으며, 정부는 새롭게 마련될 검증 항목을 클라우드 기술 특성에 맞게 정비하여 클라우드 보안 수준은 높이고 기업 부담은 줄이는 방향으로 운영할 계획입니다.
 

2.

시행 일정 및 추진 체계

새로운 검증 제도는 올해 상반기 중 ‘국가 클라우드 컴퓨팅 보안 가이드라인’ 등 관련 규정 개정에 이어, 1년간의 유예기간을 거친 후 2027년 하반기부터 본격적으로 시행될 예정입니다.
 
아울러 새로운 검증 제도의 원활한 시행을 위해 과기정통부 추천 인사 등 관계기관 및 산·학·연 전문가로 구성된 ‘민관 검증심의위원회’가 검증 결과의 공정성·타당성 여부를 평가하도록 하고, 기존 CSAP 평가기관의 전문성을 새로운 검증 제도에 연계하여 기존 제도와의 행정적인 연속성도 확보할 계획입니다.
 

3.

민간 클라우드 보안 검증 체계 개편

공공 클라우드의 보안 검증이 국정원 주도로 단일화되는 가운데, 향후 과기정통부는 기존 CSAP 하에서의 민간 클라우드 보안 인증을 정보보호 관리체계(Information Security Management System, ISMS) 인증에 통합하여 자율적인 보안 인증 체계를 조성하는 방법으로 민간 클라우드 영역의 보안 체계를 관리하게 될 것으로 보입니다.