보안특위, CSAP 개편 착수… 'N2SF' 기반 국가 보안 패러다임 바꾼다

공공영역 클라우드 전환 가속화에 따라 클라우드 보안인증제도(CSAP) 개편방안에 대한 정부 차원의 논의가 본격화한다. 단순 제도 정비를 넘어 인공지능(AI) 시대의 핵심 인프라인 클라우드 전환을 가로막던 '획일적 망 분리'의 빗장을 풀고, 국가 정보보호 체계(N2SF)에 맞춘 차세대 국가 보안 패러다임을 수립하는게 목표다.

국가AI전략위원회 보안특별위원회는 지난 2일 출범식을 갖고 향후 운영 방안과 핵심 안건을 논의하며 공식 활동에 들어갔다.

특위는 클라우드 확산과 보안 향후 운영방안을 핵심 안건으로 상정하고 구체적인 정책 방향을 검토한다. 이번 논의는 지난해 9월 발생한 국가정보자원관리원 화재 사고 이후 정부 인프라의 근본적 혁신을 주문한 이재명 대통령의 지시에 따른 것이다. 당시 출범했던 인프라 혁신 TF의 결론을 정책적으로 구체화하는 실행 단계라 할 수 있다.

CSAP는 공공기관에 클라우드 서비스를 제공하려는 민간 사업자의 보안성을 검증하는 관문 역할을 해왔다.

그러나 이 제도는 과학기술정보통신부의 인증과 국가정보원의 보안 검증이 연계되는 과정에서 중복 규제 논란이 이어져 왔다. 보안특위는 이러한 고질적 문제를 타파하는 동시에 새로운 국가 보안 프레임워크인 N2SF에 맞춰 CSAP를 전면 재설계한다는 방침이다.

N2SF는 모든 시스템을 인터넷과 차단하던 기존의 일률적인 방식에서 탈피해, 데이터를 중요도에 따라 등급별로 나누는 '데이터 중심 보안'을 지향한다. 국가 안보와 직결된 '기밀(C)' 등급은 반드시 인터넷과 단절해 별도 공간에 폐쇄형으로 구축하되, '민감(S)'이나 '공개(O)' 등급은 적절한 보안 수단과 통제 장치를 갖출 경우 외부 연결을 허용한다. 이를 통해 공공 부문에서도 민간 클라우드와 AI 기술을 훨씬 탄력적으로 활용할 수 있게 된다.

기존의 CSAP 체계는 정부의 핵심 시스템을 민간 클라우드로 이전하고 고도화된 AI 서비스를 접목하기 위한 N2SF의 'S'나 'O' 등급 기준을 수용하기에는 정합성이 떨어지고 역부족이라는 지적이 따라왔다.

보안특위는 국가안보실과 국가AI전략위원회가 공동으로 참여하는 만큼 실효성 있는 거버넌스 구축에도 무게를 두고 있다. 이번 개편이 성공적으로 이뤄질 경우, 국정원은 안보와 직결된 국가 기밀 보안 및 검증에 역량을 집중하고, 민간 클라우드 영역은 글로벌 표준에 맞춰 민간의 자율성과 창의성을 보장하는 구조로 전환되는 계기가 될 것으로 예상된다.

특위는 이달부터 과기정통부, 국정원과 본격적인 의견조율에 나선다. 민간 보안 전문가가 대거 합류한 만큼 현장의 목소리를 정책 설계도에 적극적으로 반영할 예정이다.

보안업계 관계자는 “클라우드와 AI 기술을 정부 행정에 유연하게 접목할 수 있는 제도적 토대가 마련되길 기대한다”고 말했다.

최호 기자 snoop@etnews.com