클라우드컴퓨팅서비스 보안인증(이하 “CSAP”)에 관한 최신 동향을 안내드립니다.

과학기술정보통신부는 2023. 1. 19. ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부개정안을 재행정예고 후 2023. 1. 31. 시행하였습니다. 지난 2022. 12. 29. 행정예고된 개정안과 비교할 때 이번에 재행정예고 및 시행된 개정안의 추가적인 수정 사항은 다음과 같습니다.
 

• 14.1.2. 도입 전산장비 안전성: 국가정보원장이 안전성을 확인한 제품의 경우에는 CC 인증 없이도 사용 가능

• 14.2.1. 물리적 위치 및 분리: 클라우드 시스템 및 데이터 뿐만 아니라 백업 시스템 및 관리·운영 인력의 물리적 위치도 국내로 한정

• 14.3.4. 시스템 격리 및 14.3.5. 영역 분리: 비정상 통신경로를 방지하기 위한 주기적 검토 및 비인가 접근 모니터링 수행 등 요구
   

최종적으로 시행된 개정안에서도 명시적으로 논리적 망분리를 허용하고 있긴 하나, 위와 같이 클라우드컴퓨팅서비스를 위한 시스템, 데이터뿐만 아니라 백업 시스템 및 인력까지 모두 국내에 소재하도록 한 점은 향후 CSAP 인증 취득에 고려가 필요할 것으로 생각됩니다.

[영문] Korea MSIT’s Amended Notification on Cloud Security Assurance Program (CSAP) Goes in Effect