--- title: "공공 클라우드 보안 인증, CSAP에서 국정원 단일 검증으로 간다" published: 2026-05-01T06:05:06.110Z canonical: https://jeff.news/article/2017 --- # 공공 클라우드 보안 인증, CSAP에서 국정원 단일 검증으로 간다 정부가 2027년 하반기까지 공공 클라우드 보안 인증을 국정원 단일 검증체계로 통합하려고 해. CSAP는 사실상 폐지 수순이지만, ISMS 안의 클라우드 보안 모듈과 국정원 검증이 나뉘면서 또 다른 이중 규제가 될 수 있다는 우려도 같이 나와. ## CSAP는 사실상 퇴장, 공공 클라우드 검증은 국정원으로 - 공공 클라우드 시장의 관문이었던 클라우드 보안인증(CSAP)이 2027년 하반기까지 국정원 단일 검증체계로 흡수될 예정임 - 지금은 공공기관에 클라우드를 공급하려면 CSAP를 받고, 별도로 국정원 보안성 검토까지 통과해야 했음 - 기업 입장에선 인증도 받고, 기관이 보안성 검토를 통과하도록 컨설팅과 기술 지원까지 해야 해서 사실상 두 번 뛰는 구조였음 - 정부가 내세운 명분은 명확함. 중복 규제를 줄여서 기업 부담을 낮추겠다는 것 - 현행 CSAP IaaS 인증은 민간 공통 보안 요건 106개와 공공 보안 요건 11개, 총 117개 항목을 검증함 - 새 검증체계는 CSAP의 공공 보안 요건과 기존 국정원 클라우드 보안검증을 합치되, 클라우드 기술 특성에 맞게 항목을 손보는 방향임 - 다만 CSAP가 내일 당장 사라지는 건 아님 - 정부는 새 제도 시행 전까지 약 1년의 유예 기간을 두기로 했음 - 새 제도 시행 전에 받은 CSAP 인증은 기존처럼 5년 유효 기간을 인정함 - 예를 들어 올해 4월 CSAP를 받았다면, 내년 7월 새 검증체계가 시작돼도 약 4년은 기존 인증 효력이 남는 셈임 > [!IMPORTANT] > 핵심은 인증 이름이 바뀌는 게 아니라 공공 클라우드 시장의 입장권을 누가, 어떤 기준으로 발급하느냐가 바뀐다는 점임. ## 그런데 이중 규제가 정말 없어질지는 아직 애매함 - 정부 구상대로면 공공 분야는 국정원, 민간 분야는 과기정통부가 맡는 구조가 됨 - CSAP의 공통 보안 요건은 ISMS 안의 클라우드 보안 모듈로 편입됨 - 이 모듈은 자율 인증제로 운영하겠다는 게 정부 설명임 - 문제는 시장이 자율 인증을 진짜 자율로 받아들이느냐임 - 민간 고객은 “과기정통부가 검증한 클라우드 서비스냐”를 경쟁력 지표로 볼 가능성이 큼 - 공공 고객은 국정원 검증을 요구할 테니, 민간은 ISMS, 공공은 국정원 검증이라는 새 이중 구조가 생길 수 있음 - 국가AI전략위원회 보안특위도 이 지점을 문제로 본 분위기임 - 지금처럼 정부·공공은 국정원, 민간은 과기정통부, 군은 국방부가 나눠 관리하는 구조를 더 근본적으로 손봐야 한다는 의견을 전달함 - 미국의 FedRAMP처럼 클라우드 인증을 정보기관이 직접 전담하지 않게 설계하는 방식도 비교 사례로 언급됨 ## 국정원이 키를 잡으면, 투명성이 제일 큰 변수임 - 국정원은 정보기관 특성상 공개할 수 없는 게 많음 - 담당자 신원이 공개되지 않고, 자료 공개도 제한적임 - 기업들이 인증을 준비할 때 “어떤 기준으로, 어떻게 판단하는지”를 예측하기 어려울 수 있음 - 고려대 김승주 교수는 국정원 보안성 검토의 해석 편차를 지적함 - 문의할 때 담당자마다 해석이 달라질 수 있고, 명확한 내용이 공식 문서로 제공되지 않는 경우도 많다는 얘기임 - 해외처럼 평가 기준과 방법을 투명하게 공개하고, 질의응답도 문서화해야 기업이 준비할 수 있다는 주장임 - 정부도 이 문제를 의식하고 민관 검증심의위원회를 만들겠다고 밝힘 - 과기정통부 추천 인사와 관계기관, 산학연 전문가가 참여해 검증 결과의 공정성과 타당성을 평가하는 구조임 - 2027년 상반기에는 검증제도 운영 지침과 해설서도 공개할 계획임 > [!WARNING] > 검증 항목이 공개돼도 실제 해석이 담당자마다 달라지면 기업 입장에선 리스크가 그대로임. 공공 클라우드는 기술보다 문서와 절차 싸움이 되는 경우가 많음. ## 기존 CSAP 투자 기업은 “그럼 우리는 뭐가 됨?” 모드 - 기존 CSAP 취득 기업, 특히 국내 클라우드 서비스 공급기업(CSP)은 복잡한 감정일 수밖에 없음 - 공공 시장을 열려고 선투자했고, 인증 기준에 맞춰 인프라를 구축해 왔음 - 그런데 새 기준이 다시 나오면 남은 인증 기간을 인정받더라도 추가 대응 비용이 생길 수 있음 - CSAP 상·중·하 등급제도 정착 전에 다시 흔들리는 분위기임 - 2023년 도입된 CSAP 등급제는 시스템 중요도에 따라 상·중·하로 나눴음 - 하 등급은 개인정보를 포함하지 않는 시스템, 중 등급은 비공개 업무자료를 포함·운영하는 시스템, 상 등급은 민감정보나 정부24 같은 중요 시스템에 해당함 - 지난해 6월 KT클라우드와 삼성SDS가, 9월 NHN클라우드가 국정원 ‘상’ 등급 보안 검증을 취득한 바 있음 - 여기에 N2SF의 C·S·O 등급 체계까지 들어오면서 등급 전환이 만만치 않아짐 - CSAP는 시스템 기준 분류에 가깝고, N2SF는 데이터 중요도 기반 분류와 맞물림 - 행정안전부의 공공 시스템 재해복구(DR) 사업도 국민 영향도 기반의 별도 분류 체계를 제시하고 있어 한동안 교통정리가 필요함 --- ## 기술 맥락 - 이번 변화의 핵심은 “인증을 하나 줄인다”가 아니라 공공 클라우드의 신뢰 판단 레이어를 다시 배치한다는 거예요. 기존에는 CSAP와 국정원 보안성 검토가 따로 움직였고, 기업은 두 제도의 요구사항을 모두 맞춰야 했거든요. - 국정원 단일 검증체계로 가려는 이유는 공공기관이 쓰는 클라우드의 보안 책임을 한곳에서 판단하겠다는 거예요. 다만 정보기관이 평가 기준을 얼마나 공개할 수 있느냐가 변수예요. 기준이 불투명하면 항목 수가 줄어도 준비 비용은 줄지 않을 수 있어요. - ISMS 안에 클라우드 보안 모듈을 두는 선택도 애매한 지점이 있어요. 공공 진입에는 국정원 검증만 필요하다고 해도, 민간 시장에서는 ISMS 기반 인증이 사실상 신뢰 배지처럼 쓰일 수 있거든요. - N2SF 전환이 어려운 이유는 기존 CSAP 등급과 분류 기준이 다르기 때문이에요. 시스템 중요도로 나눴던 체계를 데이터 중요도와 망 보안 구조에 맞춰 다시 매핑해야 해서, CSP 입장에선 단순 서류 변경이 아니라 아키텍처와 운영 정책 재점검이 될 가능성이 커요. ## 핵심 포인트 - CSAP와 국정원 보안성 검토를 하나로 묶어 공공 클라우드 진입 절차를 줄이는 게 정부 방침 - 현행 CSAP IaaS 인증은 공통 보안 요건 106개와 공공 보안 요건 11개 등 117개 항목을 검증 - 기존 CSAP 인증은 유효 기간 5년을 인정하지만, 새 기준 전환 과정에서 기존 투자 기업의 부담이 커질 수 있음 - 국정원 검증의 투명성, N2SF 등급 전환, ISMS와의 중복 여부가 남은 쟁점 ## 인사이트 공공 클라우드 시장을 하려는 CSP나 SaaS 업체 입장에선 인증 비용보다 더 무서운 게 예측 불가능성이야. 검증 기준과 질의응답이 문서화되지 않으면 제도는 단순해져도 실제 현장 부담은 그대로 남을 수 있어.