국가정보원의 다층보안체계(MLS) 도입과 과학기술정보통신부의 클라우드 보안인증제도(CSAP) 개편이 발표되면서, 공공 클라우드 보안 정책에 변화가 예상되고 있습니다. 국내외 클라우드 서비스 제공업체들도 많은 영향을 받게될 전망입니다.
 

MLS의 도입
 

국가정보원이 도입하려는 다층보안체계(MLS)는 기존의 획일적인 물리적 망 분리 규제를 완화하고, 정보의 중요도에 따라 보안 등급을 차별화하는 체계입니다다. MLS는 업무의 중요도에 따라 정보 시스템을 기밀(C, Classified), 민감(S, Sensitive), 공개(O, Open) 등 세 가지 등급으로 나누어 각 등급에 맞는 보안 조치를 적용합니다. MLS는 기존의 망분리 정책을 완화하여 AI와 클라우드 기술을 보다 유연하게 적용할 수 있도록 하는 것을 목표로 합니다. 이는 국정원이 추진하는 사이버 보안 정책의 핵심으로, 향후 CSAP와 연계해 보안 기준을 재정립하는 방향으로 추진되고 있습니다.
 

CSAP 개편
 

과학기술통신부는 이달 정보통신전략위원회를 열고, 클라우드 보안인증제를 개선하며 금융 분야의 망분리 규제를 완화한다고 발표했습니다. 현재 공공부문에서 클라우드 서비스를 제공하기 위해서는 CSAP 인증을 필수적으로 획득해야 합니다. 이 제도는 공공기관이 사용하는 시스템 중요도에 따라 ▲상등급 ▲중등급 ▲하등급으로 구분됩니다. 이중 하등급은 개인정보를 포함하지 않은 공개 데이터를 운영하는 시스템에 적용됩니다. 최근 개편을 통해 국내에 데이터센터가 없는 해외 클라우드 기업도 물리적 망 분리 없이 인증을 받을 수 있도록 허용되어 AWS, MS, 구글 등 주요 글로벌 클라우드 서비스 제공업체들이 심사를 받고 있습니다.
 

보안 개편이 공공클라우드에 미치는 영향은?
 

우선 망분리가 완화되기 때문에, 글로벌 클라우드 기업들이 공공 시장에 적극적으로 진출할 가능성이 점쳐지고 있습니다. 과기부 관계자는 CSAP 개편을 발표하면서, '중' 등급에 대해서도 글로벌 기업이 보안 인증을 통과한다면 진출이 가능하다고 말했습니다. 
 

규제 복잡성은 조금 더 높아졌습니다. 클라우드 보안인증제도와 다층보안체계가 병행될 경우, 중복된 인증 요건이 발생할 수 있다는 우려도 있습니다.  두 체계의 구체적인 지침이 나오지 않으면서, 공공기관과 기업을 위해 빠른 가이드라인이 필요하다는 목소리가 나옵니다. 과기정통부는 올해 연말이나 내년 초에 국정원의 구체적인 MLS 개편안이 나오면 이에 맞춰 CSAP 제도를 조정하겠다는 입장입니다.