[인더스트리뉴스 조창현 기자] 과학기술정보통신부(장관 이종호, 이하 과기정통부)가 클라우드 보안인증 등급제 도입을 위한 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 다음해 1월 18일까지 행정예고한다고 29일 밝혔다.
이번 개정안은 지난 8월 18일 현안점검회의에서 결정된 ‘클라우드 보안인증 등급제’의 세부실행방안으로 과기정통부는 등급 분류기준 및 상세 평가기준 등에 대해 관계부처와 조율‧협의했으며, 산업계 의견수렴과 더불어 디지털플랫폼정부위원회와도 논의를 지속해왔다.
논의 결과, △민간 클라우드 이용이 제한됐던 공공영역을 개방해 클라우드 시장 전반을 ‘활성화’하면서 △공공서비스 혁신을 위해 그간 획일적으로 운영해온 보안인증 체계를 개선해 ‘상‧중‧하 등급제’를 도입하기로 결정했다.
구체적으로 ‘하’등급 시스템에 대한 클라우드 보안인증은 ‘고시 공포 이후’ 시행한다. 또, ‘중’ 또는 ‘상’ 등급 시스템은 안전성·활용성 등을 고려해 디지털플랫폼정부위원회와 관계부처 공동 실증 및 검증을 거쳐 세부 평가기준을 보완한 뒤 2023년 내에 시행할 예정이다.
이에 민간 클라우드를 이용하고자 하는 국가‧공공기관은 시스템 중요도 분류기준 및 절차에 의거, 시스템을 상‧중‧하 등급으로 ‘자체 분류’한다. 세부적으로 하등급은 개인정보를 포함하지 않고 ‘공개된 공공 데이터’를 운영하는 시스템, 중등급은 ‘비공개 업무자료’를 포함 또는 운영하는 시스템으로 분류될 예정이다.
또한 상등급은 ‘민감정보’를 포함하거나, ‘행정 내부업무’ 운영 시스템으로 구분한다. 다만 클라우드 시장 신규 창출과 공공서비스 품질 제고를 위해 행정 내부업무 운영 시스템은 시스템 중요도에 따라 중등급으로 분류할 수 있도록 허용한다.
아울러 클라우드 사업자에 대한 보안인증 평가기준은 등급별로 ‘차등’을 둘 계획이다. 기존 평가항목 기준으로 상등급 평가기준은 ‘보완‧강화’하고, 중등급 평가기준은 현행수준을 ‘유지’하면서도 하등급 평가기준은 합리적으로 ‘완화’한다.
특히 하등급은 국내 ‘서비스형 소프트웨어(SaaS) 사업자’가 공공 시장에 신규 진입할 수 있도록 클라우드 시스템 및 데이터의 물리적 위치를 ‘국내로 한정’하는 요건을 검증하는 평가항목 등을 일부 추가하는 대신 기존 민간‧공공 영역간 물리적 분리 요건을 완화해 ‘논리적 분리’를 허용할 방침이다.
과기정통부 관계자는 “디지털플랫폼정부의 성공적 구현을 위해서는 민간 클라우드 서비스를 활용한 대국민 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 측면이 함께 고려돼야 한다”면서, “하등급 시스템에 대해서는 국제 경쟁 환경조성과 보안성 측면을 고려하고, 상‧중등급 시스템에 대해서는 신규 시장을 창출해 국내 클라우드 산업의 전반적인 성장을 위해 노력하겠다”라고 강한 의지를 밝혔다.
한편, 과기정통부는 행정예고 기간 중 업계·관계기관이 참여하는 ‘간담회 등’을 개최해 각계에서 제안하는 의견을 수렴하고, 의논 결과를 최종 고시 개정안에 반영해 다음해 ‘1월 중 공포’할 예정이라고 전했다.