클라우드 보안인증(CSAP) 제도 혼란과 MLS 도입에 따른 불확실성

新 보안체계 탓에 '클라우드 보안인증' 혼란 가중…내년 상반기 존속 여부 결정

新 보안체계 탓에 '클라우드 보안인증' 혼란 가중…내년 상반기 존속 여부 결정

 

• 다층보안체계(MLS) 도입 발표
  • MLS 체계
    • 기밀(C), 민감(S), 공개(O)로 데이터를 등급별로 분류하고, 차등 보안 통제를 통해 보안성과 데이터 공유를 동시에 달성하는 보안 체계
  • 국정원 발표
    • MLS 전환 로드맵이 발표되었으나, CSAP 제도의 존속 여부에 대한 구체적인 일정과 방향이 미정인 상태로, 관련 업계의 혼란 가중
• CSAP 제도에 대한 불확실성
  • 필수 요건
    • CSAP는 공공 시장에 진출하기 위한 핵심 인증
    • 클라우드 서비스 제공사(CSP)들에게 매우 중요한 제도
  • 비용 및 시간 부담
    • CSAP를 받기 위해 평균 1년 이상의 시간과 수억 원의 비용이 소요
    • 제도 폐지 시 기존 투자와 노력이 물거품이 될 수 있음
  • 업계 혼란
    • CSAP를 준비 중인 기업들과 외국계 기업들은 제도 변경 여부에 대한 불확실성으로 인해 대응 방안을 마련하기 어려운 상황
• 정부의 정책 결정 지연에 대한 우려
  • 공공 발주자 혼란
    • CSAP 제도가 어떻게 변경될지 몰라 공공 발주자들조차 혼란스러운 상황
  • 업계 요구
    • 기업들은 빠른 정책 결정을 통해 불확실성을 해소하고 현장 혼란을 줄여주기를 요구
• 국정원의 향후 계획
  • MLS 정책 확정
    • 2024년 말까지 MLS 정책을 확정한 후, 공공 클라우드 보안 관련 정책 및 CSAP 제도를 내년 상반기까지 개정·보완할 계획
  • 보안 가이드라인 수정
    • '국가 클라우드 컴퓨팅 보안 가이드라인'을 우선적으로 수정·보완하고, 이후 CSAP 정책도 이에 맞춰 개정