클라우드(SaaS) 보안인증 간편등급 신설…유효기간 5년

[아이뉴스24 김국배 기자] 공공부문 클라우드 소프트웨어 서비스(SaaS) 보안인증 유효기간이 현행 3년에서 5년으로 확대된다. 기존 표준등급 외 심사항목을 줄인 간편등급도 신설된다.

과학기술정보통신부는 이같은 내용이 포함된 클라우드 서비스 보안인증제 개선방안을 오는 24일부터 시행한다.

클라우드 서비스 보안인증제는 행정·공공기관이 보안인증을 받은 민간 클라우드 서비스를 이용할 수 있도록 하는 제도로 지난해 8월 도입됐다.

이번 개선으로 SaaS 보안인증 유효기간은 5년으로 확대되며 간편등급이 신설됐다. 기존 표준등급이 78개 인증항목에 대해 심사를 받는 것과 달리 간편등급은 30개 항목만 통과하면 인증을 받을 수 있다. 클라우드 서비스 사업자의 부담을 완화한다는 취지다.

단, 전자결재·인사·회계관리·보안서비스·개인정보영향평가 대상 서비스 등은 간편등급 대상에서 제외된다.

클라우드 서비스 사업자들이 보안인증을 신청하기 전에 반드시 받아야 했던 사전 준비기준도 없어진다. 기존에는 사업자가 자체적으로 취약점 점검을 수행하며 기준 점수 이상을 획득해야 했다. 향후에는 보안운영 명세서를 간소화하며, 정보보호관리체계(ISMS) 인증 등 타 인증과 중복항목도 조정·폐지될 예정이다.

과기정통부는 이번 개선 방안으로 5개월이 걸리던 인증 획득 기간이 3.5개월 이내로 단축될 것으로 기대하고 있다. 행정·공공기관에서 이미 이용중인 32개 클라우드 서비스는 내년까지 인증을 받도록 유예해주기로 했다. 다음달 보안인증제 신청절차·항목·심사방법 등에 관한 상세 설명을 담은 가이드라인을 배포할 방침이다.

장석영 과기정통부 정보통신정책실장은 "이번 개선 사항은 보안, 클라우드 서비스 이용 활성화 등을 종합적으로 검토해 관계부처 간 협업을 거쳐 마련된 내용"이라며 "외국 클라우드 서비스 사업자가 앞선 보안기능을 홍보하며 국내 시장에 진입하는 상황에서 국내 사업자들도 서비스 보안 수준을 높이기 위한 투자가 시급하다"고 말했다.

최장혁 행정안전부 전자정부국장은 "이번 제도 개선으로 많은 서비스들이 신속하게 공공시장에 진입할 수 있게 된다"며 "행정‧공공기관에서 다양한 민간 클라우드 서비스를 활용해 전자정부 서비스의 품질을 높이는 계기가 되길 기대한다"고 했다.

김국배 기자의 다른 기사 보기