IT
[단독]클라우드, 내년부터 CSAP 없어도 공공 진출 가능해진다
요트맨

Lv.1 요트맨 (110.♡.249.2)

2025년 12월 15일 AM 08:29 · 수정됨(10:43)

조회 1,260 공감 0

국정원 검증만 받으면 돼

업계 “이중규제 해소 환영”


이르면 내년 상반기 적용

내년부터 클라우드 서비스 기업은 보안인증(CSAP) 없이도 공공에 진출할 수 있게 된다.


기존에는 CSAP 획득 후 국가정보원의 보안적합성 검증을 다시 받아야 했지만, 내년부터는 보안적합성 검증만 받으면 공공에 서비스를 제공할 수 있게 된 것이다.


14일 정보보호업계 등에 따르면, 과학기술정보통신부와 국정원은 내년부터 CSAP 없이 공공에 클라우드 서비스를 공급할 수 있도록 제도를 개선하는 데 의견 일치를 봤다.


그간 CSAP는 이중규제를 유발한다는 지적이 제기돼왔다.


공공에 공급되는 정보기술(IT) 제품은 사전에 국정원의 보안성 검토를 받아야 한다.


그런데 클라우드 서비스의 경우 보안성 검토 뿐 아니라 CSAP까지 획득해야 하는 상황이었다. '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률'(클라우드컴퓨팅법)에 따라 국가기관 등은 CSAP를 받은 클라우드 서비스를 우선 고려해야 한다고 명시됐기 때문이다. 이 때문에 기업은 CSAP를 획득한 후 다시 보안성 검토를 거쳐야 해 중복 규제를 받고 있다는 불만이 지속 제기됐다.


이번에 CSAP 없이도 국정원의 보안성 검토를 바로 받을 수 있게 된 만큼 이중규제 문제는 해소될 것으로 보인다.


다만 CSAP 취득 과정에서 검증받은 항목을 보안성 검토에서 제외해 중복 검증은 원천 차단할 계획이다. 이를 통해 기존 CSAP 획득 기업의 불이익을 줄일 방침이다.


새로운 망 보안 체계인 국가망보안체계(N2SF)와 정합성도 추진한다. N2SF는 획일적인 망분리에서 벗어나 업무 중요도에 따라 기밀(C)·민감(S)·공개(O) 등 세 등급으로 나눠 보안을 차등 적용하는 새로운 망 보안 정책이다. 

...

업계는 이번 클라우드 보안인증 관련 제도 개선에 환영한다는 입장이다.

...

정부는 이르면 내년 상반기께 제도 개선 절차에 착수할 전망이다. 이 과정에서 주요 사항을 업계와 공유할 것으로 보인다.


과기정통부 관계자는 구체적인 내용은 밝힐 수 없다면서도 “클라우드컴퓨팅서비스 보안인증에 관한 고시 등 관련 법령 개정 작업을 진행 중”이라고 말했다.

댓글 (1)

  • 빵빵곰

    빵빵곰 Lv.1

    25.12.15 · 220.♡.192.97

    기사 올려주셔서 감사합니다.

댓글을 작성하려면 이 필요합니다.