--- title: "10년 CSAP 해체, 공공 클라우드 인증 '국정원' 단일화 — 2027년 7월 시행" published: 2026-04-20T05:05:04.633Z canonical: https://jeff.news/article/1829 --- # 10년 CSAP 해체, 공공 클라우드 인증 '국정원' 단일화 — 2027년 7월 시행 공공 클라우드 진입 검증이 과기정통부 CSAP + 국정원 보안검증 이중 체계에서 국정원 단일 체계로 일원화됨. 2027년 7월부터 시행, CSAP 별표 4는 국정원으로 이관되고 별표 1~3은 ISMS 자율 인증으로 전환. 기존 CSAP 인증은 5년 유효기간 그대로 인정. - 정부가 기업의 공공 클라우드 시장 진입 검증을 **국정원 단일 체계로 일원화** — 10년 운영된 CSAP 해체 - 현행: 과기정통부 CSAP(민간) + 국정원 보안검증(공공) 이중 검증 - 변경 후: "국정원 클라우드 보안검증"으로 단일화 - 시행은 **2027년 7월부터**, 상반기 중 국가 정보보안 기본지침·클라우드컴퓨팅 보안 가이드라인 개정 - 20일 과기정통부와 국정원이 공동 발표. 클라우드 기업 이중 부담을 덜기 위한 조치 ### CSAP 해체 — 이관 구조 - CSAP는 현재 4개 규범(별표)으로 구성됨 - 별표 1: 관리적 보호조치 (정책·조직·인력 보안, 접근권한) - 별표 2: 물리적 보호조치 (데이터센터 출입통제, CCTV 등) - 별표 3: 기술적 보호조치 (인증·네트워크·암호화 등 실제 보안 엔지니어링) - 별표 4: 국가기관용 공공 보안요건 (망분리·데이터 위치 통제·외국인 접근 통제 등) - 이관 구조 - **별표 1~3** → 과기정통부 ISMS에 통합, **의무 → 자율 인증**으로 전환 - **별표 4** → 국정원 클라우드 보안검증에 통합 - 이중 검증 → 단일 검증으로 효율화 ### 기업 부담 완화 장치 - 신규 제도 시행 전 취득한 CSAP 인증은 **유효기간 5년 그대로 인정** - 예: 2027년 6월 CSAP 받으면 국정원 보안검증 5년간 면제 - ISMS-P 등 유사 인증과 중복 항목은 **검증 시 면제** - '민관 검증심의위원회' 구성 - 과기정통부 추천인사 + 산·학·연 전문가 - 국정원은 기준·절차만 운영, 구체적 심사 결과 판단은 위원회가 담당 - → 절차 경직·심사 기간 장기화 우려 해소 목적 - 기존 CSAP 평가기관 3곳(KAIT·한국아이티평가원·한국시스템보증) 전문성 그대로 연계 ### CSAP의 흔적 — 10년 역사 - 2016년 4월 IaaS 인증으로 출발 - 2018년 7월 SaaS 인증 - 2020년 11월 DaaS 인증 기준 - 2023년 데이터 중요도 기반 상·중·하 3등급제 도입 → 현재 체계 완성 - 세부 인증 항목 수 - IaaS 116개, SaaS 79개, DaaS 110개 - 등급별 망분리 요건이 공공시장 진입을 결정짓는 핵심 기준 - 인증 절차는 수개월, 유효기간 5년, 매년 사후 심사 ### 산업계 반응 — 기대와 우려 교차 > [!NOTE] > "과기정통부가 전담하던 CSAP 인증을 공공 관련 조항이 산업 진흥과 거리가 있는 국정원이 맡게 됐다"는 우려 목소리도 나옴. 외형은 단일화지만 정책 주도 부처가 바뀌는 성격. - 류제명 과기정통부 2차관 "부처 간 칸막이 허물어 기업이 보안 문턱을 쉽고 빠르게 넘게 지원" - 김창섭 국정원 3차장 "이중규제 해소 + 공공 클라우드 보안 수준 강화에 주안점" - 민간 ISMS 통합 시 국제표준(ISO/IEC)과 정합성 맞춰 글로벌 경쟁력 확보 목표 --- ## 기술 맥락 CSAP가 10년 만에 사라지는 게 왜 중요하냐면, 국내 클라우드 SaaS 기업이 공공 시장에 들어가는 진입 장벽의 실질적 정체성이 바뀌거든요. CSAP는 원래 "공공기관이 민간 클라우드 쓰려고 할 때 안전한지 검증하자"는 취지였는데, 별표 4 때문에 **데이터 위치·망분리·외국인 접근 통제** 같은 엄격한 조건이 붙어서 AWS·Azure 같은 글로벌 CSP가 사실상 들어오지 못했어요. 이게 국내 CSP(KT클라우드, 네이버클라우드 등)의 해자였죠. 새 체계의 핵심은 **별표 1~3을 자율 인증으로 돌린다**는 거예요. 민간 클라우드 쓰는 일반 기업 입장에선 CSAP 의무 대상이 아니었지만, 실무에선 "CSAP 받은 CSP가 더 안전하다"는 신호로 작동했거든요. 이게 자율 인증이 되면 ISMS 기반으로 유연해져서 국제표준(ISO 27001/27017)과 맞물리기 쉬워져요. 글로벌 SaaS 판매에 유리해지는 거예요. 반면 별표 4가 국정원으로 가는 건 이중적이에요. 기업 입장에선 검증 절차가 하나로 줄어서 좋지만, 기준을 정하는 주체가 과기정통부(산업 진흥 부처)에서 국정원(정보보호 부처)으로 이동한 거거든요. 산업 진흥과 보안 강화 사이에서 무게중심이 어떻게 잡히느냐가 향후 2-3년 공공 SaaS 시장 속도를 좌우할 거예요. 개발자 실무 입장에선 2027년 7월 전에 CSAP 받아두면 5년간 국정원 보안검증 면제받는 점이 중요해요. 공공 B2B 노리는 팀은 인증 로드맵 타이밍을 지금 짜둬야 해요. 또 ISMS-P와 중복 항목이 면제되므로, ISMS-P 먼저 받아둔 조직은 이관 후 비용 감소 효과가 클 거예요. ## 핵심 포인트 - CSAP 해체, 공공 클라우드 진입 검증 국정원 단일 체계로 일원화 - CSAP 별표 4(공공 보안요건) → 국정원 보안검증 통합 - CSAP 별표 1~3 → 과기정통부 ISMS 통합, 의무에서 자율 인증으로 전환 - 시행 전 취득한 CSAP 인증은 유효기간 5년 그대로 인정 - ISMS-P 등 유사 인증과 중복 항목은 검증 시 면제, 민관 검증심의위원회 운영 ## 인사이트 공공 SaaS 시장 진입 로드맵이 바뀌는 이벤트. 2027년 7월 전 CSAP 받아두면 5년간 국정원 검증 면제 — 공공 B2B 노리는 팀은 인증 타이밍 재설계 필요. 별표 4 주관 부처가 국정원으로 이동하면서 산업 진흥 vs 보안 강화의 무게중심도 재조정될 전망.