과학기술정보통신부는 2024. 2. 6. ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부개정(안)을 행정예고했습니다. 이번 개정안은 지난 2023. 1. 국가기관등의 시스템 중요도 분류 기준에 따라 상중하 세 단계로 구분된 클라우드 보안인증 등급제 시행의 후속 조치로서, 상·중등급의 보안인증 평가기준을 구체적으로 정하면서 중·하등급의 보안인증 평가기준을 보다 상세히 규정하는 개정입니다.
상등급 보안인증 평가기준은 등급제 시행 이전의 클라우드 보안인증의 평가기준보다 엄격한 요구사항을 정하고 있고, 중·하등급 보안인증 평가기준에서도 각 서비스마다 준수하기 어려운 평가항목이 있을 수 있으므로, 클라우드 보안인증 받으시려는 경우 이번 개정안에 따른 평가기준을 검토하실 필요가 있어 보입니다.
이번 개정안을 통해 클라우드 보안인증 등급제가 본격적으로 시행될 것으로 보이며, 과학기술정보통신부는 이와 함께 보안인증 취득 과정에서 발생했던 실무상 어려움을 일부 해소하기 위한 제도 개선을 추진하겠다고 밝혔습니다. 아래 개정안의 주요 내용을 참고하시기 바랍니다.
1. |
PaaS, SaaS의 보안인증 등급 규정 |
2. |
보안인증 평가기준 구체화
나아가 개정안에 따르면, 상등급 평가항목은 중등급 평가항목에 다음 4가지 평가항목이 추가됩니다.
|
한편, 과학기술정보통신부는 관련 보도자료에서, ① 외부 전문기관에 의한 취약점 점검 방식을 허용하고, ② 동일 서비스에 대한 2개 이상의 보안인증 등급 평가 시 중복 평가항목을 생략하는 제도개선을 추진하겠다고 밝히기도 하였습니다. 이번 개정안의 행정예고 기간은 2024. 2. 26. 까지입니다.