클라우드 보안인증 체계, 3등급제로 바뀐다

[애플경제 전윤미 기자]그 동안 획일적으로 운영되던 클라우드 보안인증 체계가 내년부터는 ‘상‧중‧하’ 3등급제로 바뀐다. 다만 ‘하’등급 시스템에 대한 클라우드 보안인증은 고시 공포 이후 시행하고, ‘상등’과 ‘중등급’ 시스템은 디지털플랫폼정부위원회와 관계부처 공동 실증‧검증을 통해 세부 평가기준을 보완하는 등 안전성과 활용성을 담보한 후 2023년 내 시행된다.

과학기술정보통신부(이하 ‘과기정통부’)는 29일 이같은 내용의 클라우드 보안인증 3등급제 도입을 위한 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 이날부터 1월 18일까지 행정 예고한다.

이에 따르면 민간 클라우드를 이용하고자 하는 국가‧공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 ‘상‧중‧하’ 등급으로 자체 분류한다. ‘하’등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템이 해당되고, ‘중’등급은 비공개 업무자료를 포함하거나 운영하는 시스템이다. 또 ‘상’등급은 민감 정보를 포함하거나 행정 내부 업무 운영 시스템이 이에 해당된다. 과기정통부는 “다만, 클라우드 시장 신규 창출과 공공 서비스의 품질을 높이기 위해 행정 내부업무 운영 시스템은 ‘시스템 중요도’에 따라 ‘중’등급으로 분류할 수도 있다”고 덧붙였다.

클라우드 사업자에 대한 보안인증 평가기준은 등급별로 차등화한 것이다. 그 중 ‘상’등급 평가기준은 보완‧강화하고, ‘중’등급 평가기준은 현행수준을 유지하는 한편, ‘하’등급 평가기준은 합리적으로 완화한다. 특히 “‘하’등급 시스템에 대해서는 국내 서비스형 소프트웨어(SaaS)사업자가 공공 시장에 신규 진입할 수 있도록 기존의 민간‧공공 영역 간 ‘물리적 분리’ 요건을 완화하여 ‘논리적 분리’를 허용한다.”면서 “다만, 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가항목은 추가한다”고 밝혔다.

한편, ‘중’등급 시스템은 행정 내부업무 운영 시스템도 중요도에 따라 해당 등급으로 분류할 수 있게 되었다. 이에 따라 보안성을 담보한 네트워크 접근을 허용하고 내‧외부망 접근‧활용 등에 대한 실증‧검증을 통해 세부 평가기준을 보완할 것으로 알려졌다.

또 기존의 IaaS, SaaS표준, SaaS간편 등 이용 기준에 대해서도 업계 애로사항을 반영하여 상벌 규정 등 불필요한 평가항목은 통폐합 및 삭제했다. 아울러 클라우드 멀티테넌트 특성(다중 이용자 사용)을 고려하여 이용기관별 테이블 분리 기준을 완화하는 등 합리적으로 규제를 간소화했다.

과기정통부는 행정예고 기간 동안 업계, 관계기관 등이 참여하는 간담회 등 개최를 통해 각계 의견을 수렴하고, 의견수렴 결과를 최종 고시 개정안에 반영하여, 1월 중 공포할 예정이다. 개정안 전문은 과기정통부 누리집(www.msit.go.kr/법령/입법‧행정예고)에서 확인할 수 있다.