'중' 등급 항목 일부 수정
과기정통부, 고시 행정예고
[정보통신신문=최아름기자]
'하' 등급만 우선 시행됐던 클라우드 보안인증 등급제(CSAP)의 '상'·'중' 등급 평가기준이 마련됐다.
과학기술정보통신부는 이 같은 내용이 반영된 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부 개정안을 26일까지 행정예고한다고 밝혔다.
클라우드 보안인증 등급제는 공공 부문의 민간 클라우드 이용 활성화를 통해 공공서비스를 혁신하고, 클라우드 산업의 경쟁력을 강화하고자 지난해 1월 도입됐다.
당시 과기정통부는 등급별로 보안인증 평가기준을 차등화해, 상 등급은 기존 평가기준을 보완‧강화, 중 등급은 현행 수준을 유지, 하 등급은 합리적으로 완화하는 것으로 발표했다. 이에 따라 하 등급 보안인증 평가기준이 담긴 고시를 개정하면서 하 등급을 우선 시행했고, 상·중 등급은 관계부처와 함께 실증‧검증을 거쳐 보안인증 평가기준을 마련하기로 한 바 있다.
과기정통부는 상 등급은 국가 중대이익(안보, 외교 등), 행정 내부업무 등을 운영하는 상 등급 시스템의 업무 중요도와 시스템 규모를 고려해 평가항목을 4개 신설했다.
구체적으로 △외부 네트워크 차단 △보안감사 로그 통합관리 △계정 및 접근권한 자동화 △보안패치 자동화 항목을 추가한다.
중 등급은 추가하는 항목은 없으나, 점검 내용을 명확히 하기 위해 △시스템 격리 △물리적 영역 분리 평가항목을 일부 수정했다.
상·중 등급이 시행되더라도 기존에 인증받은 사업자(IaaS, SaaS 표준, SaaS 간편 등)들이 제도 개편으로 인해 겪는 혼란과 불편을 최소화하기 위해 유효기간 내에서는 중 등급으로 인정할 예정이다.
과기정통부 관계자는 “클라우드 보안인증 등급제 시행은 그동안 민간 클라우드 활용이 어려웠던 영역(행정내부업무 등)이 시스템 중요도에 따라 상중하 등급으로 나눠지고, 이에 맞는 클라우드 서비스 기준을 제시한다는 데 의의가 있다”면서, “본격적인 민간 클라우드 활용에 앞서, 보안인증 등급제가 시스템 중요도에 부합하는 안전성을 철저히 검증해 이용기관의 보안에 대한 우려를 불식시키고, 클라우드 제공 사업자의 전반적인 보안 수준을 높이는 데 역할을 다하도록 하겠다”고 밝혔다.
