공공 클라우드 보안 인증, CSAP에서 국정원 단일 검증으로 간다

CSAP는 사실상 퇴장, 공공 클라우드 검증은 국정원으로

• 공공 클라우드 시장의 관문이었던 클라우드 보안인증(CSAP)이 2027년 하반기까지 국정원 단일 검증체계로 흡수될 예정임

  • 지금은 공공기관에 클라우드를 공급하려면 CSAP를 받고, 별도로 국정원 보안성 검토까지 통과해야 했음
  • 기업 입장에선 인증도 받고, 기관이 보안성 검토를 통과하도록 컨설팅과 기술 지원까지 해야 해서 사실상 두 번 뛰는 구조였음

• 정부가 내세운 명분은 명확함. 중복 규제를 줄여서 기업 부담을 낮추겠다는 것

  • 현행 CSAP IaaS 인증은 민간 공통 보안 요건 106개와 공공 보안 요건 11개, 총 117개 항목을 검증함
  • 새 검증체계는 CSAP의 공공 보안 요건과 기존 국정원 클라우드 보안검증을 합치되, 클라우드 기술 특성에 맞게 항목을 손보는 방향임

• 다만 CSAP가 내일 당장 사라지는 건 아님

  • 정부는 새 제도 시행 전까지 약 1년의 유예 기간을 두기로 했음
  • 새 제도 시행 전에 받은 CSAP 인증은 기존처럼 5년 유효 기간을 인정함
  • 예를 들어 올해 4월 CSAP를 받았다면, 내년 7월 새 검증체계가 시작돼도 약 4년은 기존 인증 효력이 남는 셈임

그런데 이중 규제가 정말 없어질지는 아직 애매함

• 정부 구상대로면 공공 분야는 국정원, 민간 분야는 과기정통부가 맡는 구조가 됨

  • CSAP의 공통 보안 요건은 ISMS 안의 클라우드 보안 모듈로 편입됨
  • 이 모듈은 자율 인증제로 운영하겠다는 게 정부 설명임

• 문제는 시장이 자율 인증을 진짜 자율로 받아들이느냐임

  • 민간 고객은 “과기정통부가 검증한 클라우드 서비스냐”를 경쟁력 지표로 볼 가능성이 큼
  • 공공 고객은 국정원 검증을 요구할 테니, 민간은 ISMS, 공공은 국정원 검증이라는 새 이중 구조가 생길 수 있음

• 국가AI전략위원회 보안특위도 이 지점을 문제로 본 분위기임

  • 지금처럼 정부·공공은 국정원, 민간은 과기정통부, 군은 국방부가 나눠 관리하는 구조를 더 근본적으로 손봐야 한다는 의견을 전달함
  • 미국의 FedRAMP처럼 클라우드 인증을 정보기관이 직접 전담하지 않게 설계하는 방식도 비교 사례로 언급됨

국정원이 키를 잡으면, 투명성이 제일 큰 변수임

• 국정원은 정보기관 특성상 공개할 수 없는 게 많음

  • 담당자 신원이 공개되지 않고, 자료 공개도 제한적임
  • 기업들이 인증을 준비할 때 “어떤 기준으로, 어떻게 판단하는지”를 예측하기 어려울 수 있음

• 고려대 김승주 교수는 국정원 보안성 검토의 해석 편차를 지적함

  • 문의할 때 담당자마다 해석이 달라질 수 있고, 명확한 내용이 공식 문서로 제공되지 않는 경우도 많다는 얘기임
  • 해외처럼 평가 기준과 방법을 투명하게 공개하고, 질의응답도 문서화해야 기업이 준비할 수 있다는 주장임

• 정부도 이 문제를 의식하고 민관 검증심의위원회를 만들겠다고 밝힘

  • 과기정통부 추천 인사와 관계기관, 산학연 전문가가 참여해 검증 결과의 공정성과 타당성을 평가하는 구조임
  • 2027년 상반기에는 검증제도 운영 지침과 해설서도 공개할 계획임

기존 CSAP 투자 기업은 “그럼 우리는 뭐가 됨?” 모드

• 기존 CSAP 취득 기업, 특히 국내 클라우드 서비스 공급기업(CSP)은 복잡한 감정일 수밖에 없음

  • 공공 시장을 열려고 선투자했고, 인증 기준에 맞춰 인프라를 구축해 왔음
  • 그런데 새 기준이 다시 나오면 남은 인증 기간을 인정받더라도 추가 대응 비용이 생길 수 있음

• CSAP 상·중·하 등급제도 정착 전에 다시 흔들리는 분위기임

  • 2023년 도입된 CSAP 등급제는 시스템 중요도에 따라 상·중·하로 나눴음
  • 하 등급은 개인정보를 포함하지 않는 시스템, 중 등급은 비공개 업무자료를 포함·운영하는 시스템, 상 등급은 민감정보나 정부24 같은 중요 시스템에 해당함
  • 지난해 6월 KT클라우드와 삼성SDS가, 9월 NHN클라우드가 국정원 ‘상’ 등급 보안 검증을 취득한 바 있음

• 여기에 N2SF의 C·S·O 등급 체계까지 들어오면서 등급 전환이 만만치 않아짐

  • CSAP는 시스템 기준 분류에 가깝고, N2SF는 데이터 중요도 기반 분류와 맞물림
  • 행정안전부의 공공 시스템 재해복구(DR) 사업도 국민 영향도 기반의 별도 분류 체계를 제시하고 있어 한동안 교통정리가 필요함

---

기술 맥락

• 이번 변화의 핵심은 “인증을 하나 줄인다”가 아니라 공공 클라우드의 신뢰 판단 레이어를 다시 배치한다는 거예요. 기존에는 CSAP와 국정원 보안성 검토가 따로 움직였고, 기업은 두 제도의 요구사항을 모두 맞춰야 했거든요.

• 국정원 단일 검증체계로 가려는 이유는 공공기관이 쓰는 클라우드의 보안 책임을 한곳에서 판단하겠다는 거예요. 다만 정보기관이 평가 기준을 얼마나 공개할 수 있느냐가 변수예요. 기준이 불투명하면 항목 수가 줄어도 준비 비용은 줄지 않을 수 있어요.

• ISMS 안에 클라우드 보안 모듈을 두는 선택도 애매한 지점이 있어요. 공공 진입에는 국정원 검증만 필요하다고 해도, 민간 시장에서는 ISMS 기반 인증이 사실상 신뢰 배지처럼 쓰일 수 있거든요.

• N2SF 전환이 어려운 이유는 기존 CSAP 등급과 분류 기준이 다르기 때문이에요. 시스템 중요도로 나눴던 체계를 데이터 중요도와 망 보안 구조에 맞춰 다시 매핑해야 해서, CSP 입장에선 단순 서류 변경이 아니라 아키텍처와 운영 정책 재점검이 될 가능성이 커요.