공공 클라우드 시장의 보안 인증 체계가 바뀝니다. 그동안 공공 클라우드 시장 진입의 핵심 기준으로 여겨졌던 클라우드 보안인증(CSAP, Cloud Security Assurance Program)은 1년의 유예기간을 거쳐 사실상 폐지 절차를 밟고, 2027년부터는 공공 클라우드 보안 검증 절차가 국가정보원 단일 검증체계로 일원화될 예정입니다. 국가정보원은 ‘국가 사이버보안 기본지침’ 개정안을 통해 국가 망 보안체계(N2SF, National Network Security Framework)를 공식 반영하며, 기존의 망 분리 중심 보안 체계도 정보 등급 기반 보안 체계로 전환하고 있습니다.
그렇다면 CSAP는 앞으로 더 이상 효력이 없는 걸까요? 국정원 클라우드 보안검증은 어떤 방식으로 이뤄질까요?
공공 클라우드 보안 인증 개편 배경: 이중 규제 완화
이번 개편의 가장 큰 배경은 이중 규제 부담입니다. 기존에는 클라우드 서비스 제공자가 공공기관에 서비스를 제공하려면 과기정통부의 클라우드 보안인증(CSAP)을 취득하고, 별도로 국정원의 보안검증까지 받아야 했습니다. CSAP와 국정원 보안검증은 목적이 다릅니다. CSAP가 클라우드 서비스 자체의 보안성을 평가하는 인증이라면, 국정원 보안검증은 국가·공공기관 정보화 사업의 안전성을 확인하는 절차에 가깝습니다. 하지만 실제 사업 과정에서는 기업이 두 절차에 모두 대응해야 했고, 기관의 보안성 검토를 위해 자료 제출, 기술 설명, 컨설팅 지원까지 함께 맡는 경우가 많았습니다.
정부는 이 같은 부담을 줄이기 위해 공공 클라우드 보안 인증을 국정원 단일 검증체계로 통합할 예정입니다. 이를 위해 ‘국가 클라우드컴퓨팅 보안가이드라인’ 개정과 산업계 의견 수렴도 함께 추진됩니다.
N2SF가 바꾸는 공공 클라우드 보안 기준
공공 클라우드 보안 인증이 국정원 단일 검증체계로 일원화되면서, 함께 봐야 할 변화가 국가 망 보안체계(이하 ‘N2SF’)입니다. N2SF는 기존의 망 분리 중심 보안에서 벗어나, 정보의 중요도와 서비스 특성에 따라 보안 수준을 다르게 적용하는 체계입니다.
1) 망 분리 중심 보안에서 N2SF 체계로
기존 공공 보안은 내부망과 인터넷망을 분리하는 방식이 중심이었습니다. 하지만 생성형 AI, 클라우드, 외부 SaaS, 민간 협업 서비스 활용이 늘어나면서 모든 업무를 같은 기준으로 분리하기에는 한계가 생겼습니다. 새롭게 도입되는 N2SF는 획일적인 망 분리에서 벗어나, 정보의 중요도와 서비스 특성에 따라 보안 수준을 다르게 적용하는 방식을 제시합니다.
2) 핵심 인증 기준의 변화: C·S·O 정보 등급 분류
N2SF에서는 공공기관이 다루는 업무정보를 기밀(C), 민감(S), 공개(O) 등급으로 나눕니다. 정보의 등급에 따라 저장, 처리, 이동이 가능한 시스템과 필요한 보안통제 수준도 달라집니다.
| 등급 | 의미 | 예시 |
|---|---|---|
| 기밀(C, Classified) | 고도의 보호가 필요한 비공개 정보 | 안보, 국방, 외교, 수사, 국민 생명·안전과 직결된 정보 |
| 민감(S, Sensitive) | 공개 시 개인 또는 국가 이익 침해가 우려되는 비공개 정보 | 개인정보, 감사·감독, 입찰계약, 인사관리, 시스템 로그, 임시백업 |
| 공개(O, Open) | 기밀·민감 정보 외의 공개 가능한 정보 | 일반 공개자료, 공개 요건을 충족한 정보, 비공개 필요성이 사라진 정보 |
예를 들어 공개(O) 정보는 외부 클라우드나 SaaS를 활용할 수 있는 여지가 넓어질 수 있습니다. 반면 민감(S) 정보나 기밀(C) 정보는 접근 권한, 암호화, 로그 관리, 반출 통제 같은 보안대책을 더 엄격하게 적용해야 합니다. 또 하나의 시스템에 여러 등급의 정보가 섞여 있다면 더 높은 등급을 기준으로 보안 기준을 잡거나, 등급별로 시스템을 분리해 운영하는 방식이 검토될 수 있습니다.
3) 인증 여부보다 데이터 흐름이 중요해집니다
기존 CSAP가 “정해진 보안 기준을 충족해 인증을 받았는가”에 가까웠다면, N2SF 기반 보안체계에서는 실제 데이터 흐름이 더 중요해집니다. 정보가 어디에서 생성되는지, 어떤 시스템에 저장되는지, 외부 서비스로 이동할 때 어떤 통제가 작동하는지가 검토 대상이 되는 것이죠. 따라서 공공 클라우드 보안도 단순히 인증서 보유 여부만으로 증명하기 어렵습니다.
앞으로 클라우드, SaaS, 생성형 AI 같은 외부 서비스를 활용하더라도 정보 등급에 맞는 접근 권한, 암호화, 로그 관리, 반출 통제, 데이터 유출 방지 대책이 함께 갖춰져야 합니다.
CSAP는 어떻게 되나
CSAP는 곧바로 사라지지 않습니다. 이번 개편의 핵심은 기존 인증을 즉시 없애는 것이 아니라, 공공 클라우드 보안검증의 기준을 국정원 단일 체계로 옮기는 것입니다.
1) 기존 CSAP 인증은 ‘최대 5년’ 유효기간을 인정받습니다
새로운 국정원 단일 검증체계는 약 1년의 유예기간을 거쳐 2027년 하반기부터 본격 시행될 예정입니다. 시장의 혼선을 막기 위해 제도 시행 전(유예기간 포함)에 이미 취득했거나 갱신한 CSAP 인증은 인증서에 명시된 유효기간(최대 5년) 동안 효력을 그대로 인정받는 방향으로 정리되었습니다. 따라서 공공기관이 기존에 도입해 사용 중인 CSAP 인증 제품을 곧바로 교체하거나 이용을 중단할 필요가 전혀 없습니다.
2) 공공 보안요건은 국정원으로, 민간 영역은 ISMS와 연계됩니다
CSAP의 공공 보안성 검증 요건은 국정원 단일 검증체계 안으로 흡수됩니다. 앞으로 공공기관에 클라우드 서비스를 제공하려는 기업은 국정원 클라우드 보안검증과 국가 사이버보안 기본지침을 중심으로 준비해야 합니다. 반면 공공 요건을 제외한 범용적인 클라우드 보안 항목은 정보보호관리체계(ISMS) 인증 안에서 별도 클라우드 보안 모듈 형태로 재편되어 기업 자율 인증으로 전환될 예정입니다.
공공 클라우드 보안, 인증 이후의 기준까지 봐야 합니다
이번 개편으로 클라우드 도입을 검토 중인 공공기관이나 공공 시장에 서비스를 제공하려는 클라우드 사업자 모두 일정 기간 혼란을 겪을 수 있습니다. CSAP의 효력, 국정원 단일 검증체계, N2SF 기준이 함께 바뀌기 때문에 어떤 기준을 먼저 봐야 하는지 헷갈릴 수 있기 때문입니다.
하지만 방향은 분명합니다. 앞으로 공공기관이 클라우드 기반 협업 환경을 검토할 때는 기존 CSAP 인증의 유효기간만 볼 것이 아니라, 해당 서비스가 개편되는 국정원 클라우드 보안검증과 N2SF 기준을 충족할 수 있는지도 함께 확인해야 합니다. 특히 어떤 등급의 정보를 다룰 수 있는지, 데이터가 어떻게 저장·공유·이동되는지, 접근 권한과 로그 관리, 파일 공유·이동 통제 같은 운영 보안 기능이 갖춰져 있는지를 함께 살펴보는 것이 중요합니다.
자주 묻는 질문
Q1. CSAP 인증은 2027년 이후에도 유효한가요?
네. 새 검증체계 시행 전, 유예기간을 포함해 이미 취득했거나 갱신한 CSAP 인증은 인증서에 명시된 유효기간 동안 인정되는 방향입니다. 따라서 기존 CSAP 인증 제품이 제도 시행과 동시에 바로 무효화되는 것은 아닙니다.
Q2. N2SF가 도입되면 무엇이 달라지나요?
N2SF는 공공기관의 업무정보를 기밀(C)·민감(S)·공개(O) 등급으로 나누고, 등급에 따라 보안통제를 다르게 적용하는 체계입니다. 기존처럼 망 분리 여부만 보는 것이 아니라, 정보가 어디에 저장되고 어떻게 이동하는지, 어떤 접근통제가 적용되는지를 함께 봅니다.
Q3. 공공기관은 클라우드 서비스를 선택할 때 무엇을 확인해야 하나요?
기존 인증 여부만 보지 말고, 개편되는 국정원 클라우드 보안검증과 N2SF 기준에 맞는지도 확인해야 합니다. 특히 접근 권한 관리, 활동 로그, 파일 공유·이동 통제, 백업·복구처럼 실제 운영 과정에서 필요한 보안 기능을 함께 살펴보는 것이 좋습니다
