정부가 공공 클라우드 시장 진출 '필수 관문' 보안 인증 체계를 전면 개편한다. 기존 과학기술정보통신부의 'CSAP'(클라우드보안인증)과 국가정보원의 '보안검증'으로 이원화된 절차를 국정원 단일 체계로 통합해 중복규제 부담을 줄인다는 방침이다.
20일 과기정통부와 국정원은 이같은 내용의 '공공 클라우드 시장 진입절차 개선방안'을 발표했다. 정부는 현재 42% 수준인 공공 클라우드 전환율을 2030년까지 90%로 끌어올리기로 했다. 지난해 국가정보자원관리원 화재 사태로 행정·공공 정보시스템의 클라우드 전환 필요성이 커지면서다. 그 일환으로 클라우드 사업자의 공공 시장 진입 장벽도 완화하기로 했다.
가장 큰 변화는 인증 체계 효율화다. 기존에는 과기정통부의 CSAP 취득 후 국정원의 보안검증까지 받아야 했지만, 앞으로는 국정원 보안검증만 받으면 공공 시장에 진입할 수 있다. CSAP 보안요건 117개 중 106개의 공통 보안요건은 민간 인증인 ISMS(정보보호 관리체계)로 통합된다. 공공기관용으로 특화된 11개 보안요건은 국정원의 보안검증과 합쳐져 새로운 별도 평가 체계로 재편된다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 등 유사 인증과 겹치는 항목은 검증 시 면제해 기업의 행정적 부담을 줄이기로 했다.
등급제도 달라질 전망이다. CSAP의 상·중·하 등급제는 국정원 N2SF(국가 망 분리체계) 내 'C·S·O 등급으로 개편된다.
국정원은 상반기 중 이러한 내용을 담은 '국가 클라우드컴퓨팅 보안 가이드라인' 개정안을 마련한다. 1년 간 유예 기간을 거쳐 2027년 7월 본격 시행할 예정이다. 시장 혼란을 막기 위해 개정안 시행 전 기존 CSAP 인증받은 제품은 유효기간 동안 인증 효력을 그대로 인정한다. 또 관계기관 및 산·학·연 전문가가 참여하는 '민관 검증심의위원회'를 발족해 새 검증제도의 공정성·타당성 여부를 평가한다. 기존 CSAP 평가기관을 새 제도와 연계해 행정적 연속성을 확보할 방침이다.
국정원 관계자는 "검증 절차 통합으로 행정 효율성을 높이고 기업 부담을 줄일 것"이라며 "최적화된 검증 항목을 통해 공공 서비스의 안전성은 오히려 더 높아질 것"이라고 말했다. 다만 국정원으로 일원화 되는 것에 대한 우려의 목소리도 있다. 보수적인 조직 특성상 검증 요건이 기존보다 까다로워져 통제가 강화되거나, 기술 발전 속도를 따라가기 어려울 수 있다는 진단이다.
업계에서는 이번 개편이 외산 클라우드 기업의 공공 시장 점유율 확대에 영향을 미칠지 예의주시하고 있다. 아마존웹서비스(AWS), 마이크로소프트(MS), 구글클라우드 등 '빅3'는 이미 CSAP '하' 등급을 받아 공공 시장 진출 길이 열렸지만 '물리적 망분리' 규정으로 상·중 등급 진출이 막혀있다. 미 무역대표부(USTR)도 최근 '2026년 무역장벽보고서'에서 한국의 CSAP가 자국 기업의 참여를 제한한다고 지적한 만큼, 이번 개정안이 통상 마찰 해소 및 외산 클라우드의 국내 공공 시장 점유율 확대 신호탄이 될 수 있다는 전망이 나온다.
이에 대해 국정원 관계자는 "확정된 내용은 없다"라면서도 "현행 보안 기준에도 특정 국가 사업자를 배제하는 항목은 없다"고 했다.