2022. 12. 29. 과학기술정보통신부는 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 행정예고하였습니다. 이번 개정안은 공공부문의 민간 클라우드컴퓨팅서비스 이용을 활성화하기 위하여 현행 클라우드 보안인증 기준을 변경하는 것을 골자로 하고 있습니다. 구체적으로는 잠재적인 보안 위협 수준을 기준으로 국가·공공기관의 시스템을 등급화하고, 이 등급에 따라 현행 클라우드 보안인증 기준을 완화하는 것입니다. 이번 개정안에 대한 의견 제출기한은 2023. 1. 18. 입니다.

그간 클라우드 보안인증 제도는 민간 클라우드컴퓨팅서비스 제공자의 공공부문 진출을 위축시키는 요인으로 인식되어 왔습니다. 국가기관, 지방자치단체, 공공기관(이하 “국가기관등”)은 클라우드 보안인증을 받은 민간 클라우드컴퓨팅서비스만 이용할 수 있는데, 클라우드 보안인증 제도는 해당 서비스가 이용되는 시스템에 따라 차등화 되지 않은, 단일하고 엄격한 기준을 요구하였기 때문입니다.
 
이러한 지적과 공공부문의 민간 클라우드컴퓨팅서비스 이용 활성화 필요성에 응하기 위하여, 지난 2022. 8. 18. 국정현안점검조정회의(국가의 중요 정책 조정과 주요 국정현안 대응을 위하여 국무총리 주재로 개최되는 장관급 회의)에서는 국가기관등의 시스템을 3등급(상, 중, 하)으로 구분하고 등급별로 차등화된 보안인증 평가기준을 적용하여 사업자들의 부담을 완화하기로 하였습니다.
 
과학기술정보통신부의 이번 개정안은 위 조치에 따른 하등급 시스템에 적용되는 클라우드 보안인증 기준을 명시하였습니다. 상·중 등급 시스템에 적용될 클라우드 보안인증 기준은 디지털플랫폼정부위원회와 관계부처의 준비 및 검토를 거쳐 2023년 내에 마련될 예정입니다. 국가기관등의 시스템을 상·중·하 등급으로 분류하는 세부적인 기준도 향후 구체화될 것으로 예상됩니다.
 
과학기술정보통신부가 발표한 국가기관등의 시스템 분류 기준 및 각 등급별 보안인증 기준의 주요 내용은 아래와 같습니다.
 

[국가기관등의 시스템 중요도 분류 기준 및 보안인증 평가기준]

과학기술정보통신부는 행정예고 기간 동안 간담회 등을 개최하여 업계, 관계기관 등의 의견을 수렴하고, 이를 반영하여, 2023. 1. 중 최종 개정 고시를 공포할 예정입니다. 개정 고시를 통해 민간 클라우드컴퓨팅서비스 제공자의 공공부문 진출 부담이 완화될 예정이므로, 이번 개정안의 내용을 면밀히 살펴보시기 바랍니다.

[영문] Proposal to Relax the Cloud Security Assurance Program (CSAP) Standards