클라우드 보안 인증 제도의 벽이 낮아져, 국내 클라우드 서비스 기업의 활로가 트였다.

과학기술정보통신부(장관 유영민)와 행정안전부(장관 진영)는 23일 클라우드 서비스 보안인증제 개선 방안을 발표하고, 오는 24일부터 시행한다고 밝혔다.

클라우드 보안 인증은 민간 클라우드 서비스 기업이 행정·공공기관에 클라우드를 제공할 경우 받아야 하는 인증이다. 

정부는 지난 2018년 8월 문재인 대통령이 참석한 ‘데이터경제 활성화 규제혁신 현장방문’ 시 제기된 규제 개선 요구사항을 토대로, 공공부문의 클라우드서비스(SaaS) 이용 활성화와 보안 사항을 고려해 개선안을 마련했다고 전했다. 

주요 변화는 세 가지로 ▲ 사업자 부담 완화 ▲ 인증 절차 간소화 ▲ 기존 인증 유예 등이다.

먼저 현행 3년의 보안 인증 유효기간을 5년으로 확대하고, 표준 등급 외에 간편 등급을 신설했다. 기존 표준등급의 경우 78개 인증항목의 심사를 받고 있으나, 최소 항목의 30개 인증항목만 통과하면 간편 등급을 받게끔 했다. 

또 보안인증 신청 전에 반드시 받아야 했던 사전 준비기준을 없앴다. 사업자는 기준 충족을 위해 자체적으로 취약점 점검을 수행해 기준 이상을 달성해야 했다. 향후 보안운영명세서 간소화, 제출서류 정형화, 정보보호관리체계인증 등 타 인증제와의 중복항목을 조정·폐지할 계획이다.

정부는 신청 절차 간소화를 통해 신청에서 접수까지 기간이 기존 150일에서 100일로 단축될 것이라 예상했다.

마지막으로, 현재 행정․공공기관에서 이미 이용중인 클라우드서비스(32개)에 대해서는 2020년 12월 31일까지 유예하여 동 기간중에 인증제 신청과 서비스 이용이 가능하도록 조치했다.

"국내 클라우드 서비스 기업, 노력과 투자 필요해"

장석영 과기정통부 정보통신정책실장은 “이번에 시행하는 제도개선 사항은 사이버 공격이 지능화·다양화되는 추세에 따라 사이버 보안의 중요성을 간과하지 않는 방향에서 보안이 꼭 필요한 부분, 클라우드서비스 이용 활성화, 기업 부담 등을 종합적으로 비교·검토하여 관계부처 간 협업을 통해 마련된 내용”이라며,

“국내 클라우드서비스 사업자들은 외국 클라우드서비스 사업자가 앞선 보안기능을 홍보하며 국내시장 진입을 도모하고 있는 상황에서, 서비스에 대한 보안수준을 높이기 위한 끊임없는 노력과 투자 역시 시급하다”라고 말했다. 

양 부처는 8월 중 보안인증제 신청절차·항목·심사방법 등에 대한 상세한 설명을 담은 가이드라인을 제작·배포하고, 설명회, 교육, 보안 컨설팅, 보안협의체 운영 등을 통해 클라우드 보안인증제가 조기 정착될 수 있도록 할 계획이다.