클라우드 서비스

정부, SaaS 분야 클라우드 보안인증 제도 문턱 낮춘다

백지영

[디지털데일리 백지영기자] 과학기술정보통신부(장관 유영민)와 행정안전부(장관 진영)는 서비스형 소프트웨어(SaaS) 이용 활성화를 위해 클라우드 서비스 보안인증제를 개선한다고 23일 밝혔다.

클라우드 서비스 보안인증제는 행정·공공기관이 보안인증을 받은 민간 클라우드서비스를 이용할 수 있도록 하는 제도다. 현재 클라우드 인프라(IaaS)와 소프트웨어(SW) 분야로 나눠진다. 이번에 개선되는 부분은 지난해 8월 도입한 SaaS 분야의 클라우드 보안인증으로 현재 3개 서비스가 인증을 받았다. 인증 부담을 낮춰 SW기업들이 손쉽게 기관에 서비스를 제공하도록 할 방침이다.

우선 현행 3년인 보안인증 유효기간을 5년으로 확대한다. 기존의 표준등급 외에 간편등급을 신설했다. 기존의 표준등급은 78개 인증항목의 심사를 받고 있으나, 전자결재, 인사, 회계관리, 보안서비스, 개인정보영향평가 대상 서비스 등을 제외한 서비스에 대해 간편등급을 적용하여 30개 인증항목만 통과하면 보안인증을 받을 수 있도록 했다. 다만 인증 유효기간이 확대돼도 매년 사후심사를 통해 보안조치를 해야한다.

또한, 클라우드서비스 사업자들이 보안인증 신청 전에 반드시 받아야 했던 사전 준비기준을 없했다. 향후 보안운영명세서 간소화, 제출서류 정형화, 타 인증제(정보보호관리체계인증 등)와의 중복항목을 조정·폐지할 계획이다. 기존에 사업자는 자체적으로 취약점 점검을 수행하며, 기준점수(80점) 이상 획득이 필요했다. 이번 행정절차 개선을 통해, 인증신청 접수에서 인증 완료시까지 5개월이 걸리던 기간을 3.5개월 이내로 단축할 수 있을 것으로 기대하고 있다.

이와 함께 현재 행정․공공기관에서 이미 이용 중인 클라우드서비스(32개)에 대해서는 2020년 12월 31일까지 유예하고, 내년 말까지 인증제 신청과 서비스 이용이 가능하도록 했다.

정부는 “이번 제도개선 방안은 지난해 8월 대통령 주재 ‘데이터경제 활성화 규제혁신 현장방문’시 제기된 규제 개선 요구사항을 반영하기 위해 7차례에 걸친 기업들의 애로사항 및 의견 수렴과 6차례의 제도 개선안 관계부처 협의를 통해 마련·시행하게 됐다”고 밝혔다.

장석영 과기부 정보통신정책실장은 “사이버 보안의 중요성을 간과하지 않는 방향에서 보안이 꼭 필요한 부분, 클라우드 서비스 이용 활성화, 기업 부담 등을 종합적으로 비교·검토해 관계부처 간 협업을 통해 마련된 내용”이라고 설명했다.

그는 이어 “국내 클라우드서비스 사업자들은 외국 클라우드서비스 사업자가 앞선 보안기능을 홍보하며 국내시장 진입을 도모하고 있는 상황에서, 서비스에 대한 보안수준을 높이기 위한 끊임없는 노력과 투자 역시 시급하다”고 강조했다.

행안부 최장혁 전자정부국장도 “이번 인증제도개선으로 많은 서비스들이 신속하게 공공시장에 진입할 수 있게 된다”며 “행정‧공공기관에서 다양한 민간 클라우드 서비스를 활용해 전자정부 서비스의 품질을 높이는 계기가 되길 기대한다”고 말했다.

한편 과기부와 한국인터넷진흥원은 지난 17일 클라우드 이용자 보호 등을 위한 사업자 및 유관기관 간 상호 정보공유 및 협력 강화 등을 논의하는 보안협의체 1차 회의를 개최했다. 8월 중 보안인증제 신청절차·항목·심사방법 등에 대한 상세한 설명을 담은 가이드라인을 제작·배포할 예정이다. 또, 오는 30일 한국인터넷진흥원에서 관련 설명회를 개최한다.

<백지영 기자>jyp@ddaily.co.kr

백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널