[클라우드+]클라우드 보안인증 전면 시행…하등급 인증은 언제

[아이뉴스24 박진영 기자] 클라우드 보안인증(CSAP) 등급제가 전면적으로 시행되면서 공공 클라우드 시장에 대한 기대감이 높아지고 있다. 지난해 초 우선 시행한 하등급 인증을 받기 위해 글로벌 클라우드 기업들이 도전했지만 국정원의 요구에 제동이 걸린 상태다.

과학기술정보통신부는 CSAP 등급제의 상·중등급 평가기준이 반영된 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안을 6일부터 오는 26일까지 행정예고했다.

CSAP는 국가·공공기관에 제공되는 클라우드 서비스의 보안성을 검증하기 위해 마련된 제도다. 지난해 1월 공공 부문 민간 클라우드 이용 활성화를 위해 'CSAP 등급제'를 도입했다.

당시 등급별로 보안인증 평가기준을 차등화 △상등급은 기존 평가기준을 보완‧강화 △중등급은 현행 수준을 유지 △하등급은 합리적으로 완화하겠다고 발표했다.

지난해 하등급 보안인증 평가기준이 담긴 고시를 개정하면서 하등급을 우선 시행했고, 상중등급은 관계부처와 함께 실증‧검증을 거쳐 보안인증 평가기준을 마련하기로 한 바 있다.

등급제 시행 1년 만에 상·중 등급 기준이 확정되면서 불확실성이 해소되자 업계에선 대체로 반기는 분위기다. 하지만 아직 하등급 인증을 받은 기업도 나오지 않은 상황에서 공공 클라우드 시장 활성화를 기대하기엔 이른 감이 있다.

또 논리적 영역 분리가 허용된 하등급의 경우 글로벌 클라우드 기업들도 신청할 수 있게 되면서 공공 클라우드 시장의 지각변동이 예상됐었다

논리적 영역 분리는 소프트웨어를 통해 망 분리 효과를 내는 방식으로, 공공 클라우드 인프라를 물리적으로 따로 두지 않아도 되는 것이다. 민간 클라우드 기업의 인터넷데이터센터(IDC) 내에서 제공하는 공공용 클라우드 서비스를 민간용 서버를 통해 제공할 수 있다는 의미다.

지난해 10월 구글클라우드를 비롯해 아마존웹서비스(AWS), 마이크로소프트(MS) 등 6개 기업이 하등급 인증을 신청했다. CSAP 인증 절차가 통상 4~6개월 소요되는 것을 감안하면, 올해 상반기 중엔 하등급 인증 기업이 나올 것으로 기대된다.

다만, 하등급 인증 과정에 국정원의 요구사항이 반영되면서 인증 과정에서 차질이 빚어지고 있는 것으로 알려졌다.

한 클라우드 업계 관계자는 "국내 클라우드 업체 대부분 공공시장을 주력으로 사업을 하고 있고, CSAP 획득을 위해 인프라 구축 등 상당한 투자 비용이 들었다"면서 "상등급 요건 중 외부 네트워크 차단과 같은 강력한 보안 기준이 신설된만큼 공공 클라우드 수요를 보면서 구체적 사업 방향을 세워나갈 것"이라고 밝혔다. 이어 그는 "올해 클라우드 관련 예산이 예상보다 적게 편성됐기 때문에 공공 클라우드 시장 활성화를 낙관하기엔 이르다"고 전했다.

.