[아이뉴스24 김혜경 기자] 내년 1월부터 클라우드 보안인증(CSAP) 고시 개정안이 시행된다. 그동안 한국인터넷진흥원(KISA)이 수행했던 인증·평가 업무를 분리해 복수의 민간 평가기관을 지정하고, 인증평가 수수료를 부과하는 내용이 골자다.
14일 오후 서울역 인근에서 열린 '클라우드컴퓨팅서비스 정보보호에 관한 기준 개정안' 설명회에서 이상무 KISA 클라우드인증팀장은 "이번 고시 개정에 따라 인증평가를 수행할 평가기관을 별도로 지정할 계획"이라며 "인증기관의 인증위원회에서 CSAP 인증서를 발급하는 구조“라고 전했다.
평가기관은 클라우드사업자의 보안인증 기준 적합 여부를 평가한 후 인증기관에 평가결과를 제출하고, 인증기관은 인증서 발급 여부를 결정한다. 그동안 KISA에서 맡았던 업무를 이원화하는 셈이다.
이 팀장은 "내년 1월 평가기관 지정 공고 이후 2월 심사를 거쳐 4월께 신규 평가기관이 지정될 것으로 예상하고 있다"며 "보안인증 수요가 확대될 경우 인증기관도 추가 지정할 예정"이라고 말했다.
2015년 9월 '클라우드컴퓨팅 발전·이용자 보호에 관한 법률' 제정으로 클라우드컴퓨팅 관련 법·제도적 기반이 마련됐다. 이후 2016년 4월 관련 고시 제정을 통해 공공 부문에서 이용하는 민간 클라우드서비스에 대한 인증제도가 시행됐다. 같은해 5월 서비스형 인프라(IaaS) 보안인증에 이어 2018년 7월 서비스형 소프트웨어(SaaS), 2020년 12월 서비스형 데스크톱(DaaS) 으로 인증 유형이 확대된 바 있다.
올해 1월 법 개정을 통해 클라우드 보안인증 관련 법적 기반을 마련했고, 지난 7일 고시 개정안을 행정예고했다. 과학기술정보통신부는 이달 중 관계부처 협의와 규제개혁위원회 심사에 이어 올해 안으로 법제처 심사까지 완료한다는 방침이다. 고시 개정안 시행 시점은 내년 1월 12일이다.
이번 고시 개정을 통해 인증 대상과 유효기간, 인증·평가기관 지정·취소, 수수료 징수 등의 근거가 마련될 것으로 보고 있다. 인증·평가기관의 공정성을 확보하기 위해 영리 목적으로 컨설팅 업무를 수행하거나 인증절차·기준을 생략하는 행위 등이 발생하지 않도록 관련 규정도 마련한다.
또 평가기관이 이해관계 등으로 인증평가를 수행하기 어려운 경우엔 KISA 혹은 다른 평가기관이 인증 평가기관을 수행하게 된다.
아울러 인증평가 수수료도 전액 국비지원에서 일부 지원으로 변경된다. ▲보안인 평가종류 ▲클라우드서비스 유형 ▲시스템 규모에 따라 평가 투입공수를 차등화해 책정될 예정이다.
이 팀장은 "SaaS의 경우 보안요구사항 수준에 따라 표준·간편등급으로 구분해 인증 유효기간을 3년 또는 5년으로 부여했지만 개정 후에는 유효기간을 일률적으로 5년으로 정할 방침"이라며 "IaaS 변경으로 인한 SaaS 재인증 신청 시엔 변경사항을 중심으로 인증·평가가 진행된다"고 말했다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기