---
title: "CSAP 전면 개편 — N2SF 도입으로 공공 클라우드 규제 확 바뀐다"
published: 2026-04-05T06:05:05.211Z
canonical: https://jeff.news/article/1545
---
# CSAP 전면 개편 — N2SF 도입으로 공공 클라우드 규제 확 바뀐다

정부가 클라우드 보안인증제도(CSAP)를 N2SF 패러다임으로 전면 개편함. 기존 일률적 망 분리 대신 데이터 중요도별 차등 보안 체계로 전환해서 민간 클라우드의 공공시장 진입 장벽을 낮출 계획.

- 정부가 클라우드 보안인증제도(CSAP)를 전면 뜯어고치겠다고 선언함
  - 국가AI전략위원회 산하 보안특별위원회가 공식 출범
  - 이재명 대통령의 인프라 혁신 지시에 따른 후속 조치
- 핵심은 기존 '일률적 망 분리' 방식에서 **N2SF** 패러다임으로 전환하는 것
  - **기밀(C) 등급**: 인터넷과 완전 단절된 폐쇄형 유지
  - **민감(S)·공개(O) 등급**: 적절한 보안 조치 하에 외부 연결 허용
  - 데이터 중요도 기반으로 등급을 나눠서 차등 적용하는 구조
- 그동안 과기정통부와 국정원의 중복 규제가 민간 클라우드 업체들한테 엄청난 부담이었음
  - CSAP 인증 받으려면 시간도 돈도 너무 많이 들어서 중소 클라우드 업체들이 공공시장 진입을 포기하는 경우가 많았음
  - 글로벌 CSP들도 한국 공공시장 진출에 난색을 표해왔음

> [!IMPORTANT]
> 성공적으로 개편되면 국정원은 국가 기밀 보안에 집중하고, 민간 클라우드는 글로벌 표준에 맞는 자율성을 확보하게 됨

- 연내에 구체적인 개편안이 나올 예정이라 올해 하반기부터 실질적 변화가 시작될 수 있음
  - 공공 클라우드 사업 참여하는 업체들은 주시할 필요 있음

---

## 기술 맥락

CSAP가 뭐냐면, 공공기관이 클라우드 서비스를 도입할 때 보안성을 검증하는 인증 제도예요. 그런데 이게 너무 빡세서 AWS나 Azure 같은 글로벌 CSP도 한국 공공시장에서는 제한적으로만 서비스할 수 있었거든요.

N2SF는 'National Network Security Framework'의 약자인데, 핵심은 "모든 데이터를 똑같이 틀어막지 말고, 중요도에 따라 차등 보안하자"는 거예요. 실무적으로 보면 공개 등급 데이터를 다루는 서비스는 SaaS 형태로 훨씬 쉽게 공공시장에 진입할 수 있게 되는 거죠. DevOps 하는 분들이라면 공공 프로젝트에서 클라우드 네이티브 아키텍처 적용이 훨씬 수월해질 거라는 점에서 의미가 커요.

## 핵심 포인트

- 국가AI전략위 산하 보안특위 출범, CSAP 전면 개편 착수
- N2SF: 데이터 중요도별 기밀(C)/민감(S)/공개(O) 등급 차등 보안
- 과기정통부·국정원 중복 규제 해소로 민간 클라우드 자율성 확보
- 연내 구체적 개편안 마련 예정

## 인사이트

공공 SI/클라우드 사업자들한테는 꽤 큰 변화. 공개 등급 데이터 서비스는 진입장벽이 확 낮아질 수 있어서, 클라우드 네이티브 스타트업들한테도 기회가 될 듯.