핵심 POINT
공공 클라우드 보안 검증 체계가 국정원 중심의 단일 검증체계로 개편될 예정입니다. 이를 통해 기존의 중복 검증 절차가 개선될 것으로 기대됩니다.
CSAP 제도는 민간 기업 대상의 자율 보안 인증으로 전환되고, ISMS 체계와 연계해 운영될 예정입니다. 세부 운영 기준은 향후 고시와 가이드라인을 통해 구체화됩니다.
공공시장 진출을 준비하는 SaaS 사업자와 CSP는 기존 인증 현황을 점검하고, 변화하는 클라우드 보안 요구사항에 대비할 필요가 있습니다.
CSAP(Cloud Security Assurance Program)는 공공기관에 클라우드 서비스를 제공하기 위해 필요한 대표적인 보안 인증 제도입니다. 최근 정부가 CSAP 개편 방향을 발표하면서 공공 클라우드 보안 검증 체계에도 변화가 예고되고 있습니다.
정부는 공공 클라우드 보안 검증 과정에서 제기돼 온 중복 절차를 개선하기 위해 국정원 중심의 단일 검증체계로 개편하는 방안을 발표했으며, 약 1년의 유예기간을 거쳐 2027년 7월부터 새로운 체계를 적용할 예정입니다.
이번 개편은 인증 절차 변경을 넘어 공공 클라우드 보안 검증 체계 전반의 운영 방식이 달라지는 변화로 평가됩니다. 다만 세부 평가 기준과 운영 방식은 앞으로 관련 고시와 가이드라인을 통해 구체화될 예정인 만큼, 현재 공개된 정책 방향을 중심으로 변화 내용을 이해하는 것이 중요합니다.
공공시장 진출을 준비하는 SaaS 사업자와 클라우드 서비스 제공사(CSP)는 제도 변화에 따라 기존 인증 현황과 클라우드 보안 체계를 함께 점검할 필요가 있습니다. 이번 글에서는 ① CSAP 개편이 추진되는 배경, ② 무엇이 달라지는지, ③ 기업이 미리 준비해야 할 보안 과제를 중심으로 살펴보겠습니다.
■ CSAP 개편, 왜 추진되는 걸까?
이미지 출처 : Magnific
정부는 공공 클라우드 도입 과정에서 제기돼 온 보안 검증 절차의 중복 부담을 개선하기 위해 CSAP 제도 개편을 추진하고 있습니다. 기존에는 공공기관에 클라우드 서비스를 제공하려는 기업이 CSAP 인증과 별도의 국정원 보안 검증을 준비하는 과정에서 자료 제출과 심사 대응이 중복된다는 의견이 지속적으로 제기됐습니다. 이에 정부는 공공 클라우드 보안 검증 체계를 보다 효율적으로 운영하기 위해 국정원 중심의 단일 검증체계로 개편하는 방향을 발표했습니다.
이번 개편은 공공 클라우드의 보안 수준을 낮추기 위한 것이 아니라, 공공 보안 검증 체계를 보다 일관되게 운영하면서 기업의 행정 부담을 줄이기 위한 제도 개선의 성격으로 이해할 수 있습니다.
■ CSAP 개편 후 무엇이 달라질까?
정부가 발표한 CSAP 개편 방향에 따르면 공공 클라우드 보안 검증은 국정원 중심의 단일 검증체계로 운영될 예정입니다. 또한 정부는 CSAP 제도를 민간 기업 대상의 자율 보안 인증으로 전환하고, ISMS 체계와 연계하는 방향을 제시했습니다. 다만 세부 평가 기준과 적용 방식은 향후 관련 고시와 가이드라인을 통해 구체화될 예정입니다.
📌 공공 클라우드 보안 검증 체계 개편 내용
| 공공 클라우드 보안 검증 | 국정원 단일 검증체계로 개편 예정 |
| CSAP 제도 | 민간 기업 대상 자율 보안 인증으로 전환하고 ISMS 체계와 연계 예정 |
| 시행 시기 | 2027년 7월 시행 예정 |
| 기존 인증 | 기존 유효기간 인정 예정 |
| 세부 기준 | 향후 고시 및 가이드라인에서 구체화 예정 |
다만 기존의 CSAP 인증이 곧바로 무효가 되는 것은 아닙니다. 제도는 변경되지만 기존에 구축한 클라우드 보안 및 정보보안 체계가 사라지는 것은 아니므로 단계적인 전환 준비가 중요합니다. 정부는 신규 제도 시행 이전에 취득한 CSAP 인증에 대해서는 기존 인증서의 유효기간을 인정하는 방향으로 발표했습니다.
■ 국정원 중심 공공 클라우드 보안 검증 체계란?
새로운 공공 클라우드 보안 검증 체계는 국정원 중심의 단일 검증체계로 개편될 예정입니다. 정부는 공공 클라우드 보안 검증 과정에서 중복되는 절차와 항목을 줄이고, 클라우드 기술 특성에 맞게 검증 항목을 개선하겠다는 방향을 밝혔습니다.
이와 함께 공공부문 보안 정책의 변화도 함께 살펴볼 필요가 있습니다. 대표적인 것이 국가 망 보안체계(N2SF)입니다. N2SF는 공공데이터를 중요도에 따라 다르게 보호하겠다는 국가 망 보안 정책으로, 모든 업무에 동일한 보안 수준을 적용하던 기존 방식에서 벗어나 데이터와 업무의 중요도에 따라 보안 수준을 차등 적용하는 것이 핵심입니다. 이를 통해 보안성을 유지하면서도 클라우드 활용과 업무 효율성을 함께 높이겠다는 취지로 추진되고 있습니다.
📌 N2SF 데이터 등급 체계
| 등급 | 정보 성격 | 적용 방향 |
|---|---|---|
| C (기밀) | 안보·국방·외교·수사 등 기밀성이 높은 정보 | 높은 수준의 보안 통제 필요 |
| S (민감) | 공개 시 개인·국가 이익 침해 우려 정보 | 강화된 보안 통제 필요 |
| O (공개) | 공개 가능 정보 또는 일반 공공데이터 | 업무 활용성과 보안성을 함께 고려 |
다만 현재 공개된 자료만으로는 새로운 공공 클라우드 검증체계와 N2SF의 구체적인 적용 방식과 세부 기준이 모두 확정된 것은 아닙니다. 향후 운영지침과 가이드라인을 통해 구체화될 예정인 만큼 관련 정책과 가이드라인을 지속적으로 확인하며 대응하는 것이 중요합니다.
■ SaaS 사업자와 CSP가 준비해야 할 보안 과제
이미지 출처 : Magnific
SaaS 사업자와 CSP는 제도 전환기에 맞춰 기존 인증 현황과 클라우드 보안 체계를 함께 점검할 필요가 있습니다. 세부 가이드라인은 향후 구체화될 예정이지만, 공공 클라우드 보안 검증이 국정원 중심의 단일 체계로 개편되는 만큼 현재 공개된 정책 방향을 바탕으로 기본적인 보안 요소를 미리 확인하는 것이 중요합니다.
① 기존 인증 현황 점검
먼저 기존 CSAP 인증의 유효기간과 갱신 시점, 공공시장 진출 계획을 함께 검토해야 합니다. 정부는 신규 제도 시행 전 취득한 CSAP 인증의 유효기간을 인정하는 방향을 발표했지만, 실제 적용 범위와 세부 운영 방식은 향후 관련 지침을 통해 확인할 필요가 있습니다. 특히 공공시장 진출을 계획하는 SaaS 기업이라면 인증 갱신 시점과 신규 검증체계 적용 시점을 함께 고려해 단계적인 대응 계획을 세우는 것이 좋습니다.
② 클라우드 보안 아키텍처 점검
새로운 검증체계에서는 클라우드 기술 특성에 맞춰 검증 항목이 정비될 예정입니다. 이에 따라 데이터 보호, 접근통제, 계정 관리, 암호화, 로그 관리, 취약점 관리 등 기본적인 클라우드 보안 아키텍처를 점검할 필요가 있습니다. 클라우드 환경에서는 데이터 저장 위치, 권한 관리, 백업 및 복구 체계 등도 함께 확인하는 것이 좋습니다.
③ 보안 운영 체계 점검
제도 변화에 대응하기 위해서는 인증 문서 준비뿐 아니라 실제 운영 과정에서 보안 수준을 유지할 수 있는 체계가 필요합니다. 클라우드 환경은 구성 변경이 잦고, 계정·권한·API·워크로드 등 관리 대상이 빠르게 늘어나기 때문입니다. 따라서 보안 담당 조직은 개발·운영 단계에서 보안 요구사항을 반영할 수 있도록 협업 구조를 점검하고, 정기적인 취약점 진단과 보안성 검토 체계를 마련하는 것이 중요합니다.
④ 망분리 및 데이터 등급 대응 방향 확인
N2SF 정책 방향을 고려하면, 향후 공공 업무와 데이터 중요도에 따른 보안 요구사항이 구체화될 가능성이 있습니다. 다만 등급별 망분리 기준이나 클라우드 적용 방식은 향후 가이드라인을 통해 확인이 필요한 영역입니다.
CSP와 SaaS 사업자는 현시점에서 물리적 망분리 또는 논리적 망분리 적용 여부를 단정하기보다, 테넌트 격리, 접근통제, 로그 추적, 보안관제 연계 등 기본 보안 요소를 중심으로 다양한 적용 가능성을 검토하는 것이 바람직합니다.
■ CSAP 개편 대응을 위한 클라우드 보안 전략
SK쉴더스는 공공·민간 클라우드 보안 컨설팅 경험을 바탕으로 CSAP 대응부터 클라우드 보안 아키텍처 설계, 보안성 검토, ISMS 연계 컨설팅, 취약점 진단까지 기업 환경에 맞는 클라우드 보안 컨설팅을 제공합니다.
또한 제도 변화에 따른 보안 요구사항을 반영해 클라우드 구축 및 이전, 컴플라이언스 대응까지 체계적으로 지원하며, 컨설팅 이후에도 보안 솔루션 구축과 운영, 보안관제 서비스를 연계해 안정적인 클라우드 보안 체계 구축을 지원합니다. 이를 통해 공공시장 진출을 준비하는 SaaS 사업자와 클라우드 기업이 변화하는 인증 및 보안 검증 체계에 효과적으로 대응할 수 있도록 돕고 있습니다.
이번 CSAP 제도 개편은 단순한 인증 절차 변경이 아니라 공공 클라우드 시장의 진입 절차와 보안 검증 체계가 함께 변화하는 중요한 전환점입니다. SaaS 사업자와 클라우드 기업은 공개된 정책 방향을 바탕으로 보안 정책과 클라우드 환경을 점검하고, 향후 발표될 세부 기준에 맞춰 대응 전략을 마련해야 합니다. SK쉴더스는 변화하는 공공 클라우드 보안 정책과 기술 환경에 맞춰 기업이 안정적으로 공공시장에 진출할 수 있도록 함께 지원합니다.
■ 자주 묻는 질문 (FAQ)
Q. CSAP란 무엇인가요?
A. CSAP는 공공기관에 클라우드 서비스를 제공하기 위해 활용되는 공공 클라우드 보안 인증 제도입니다.
Q. CSAP 개편은 언제 시행되나요?
A. 정부는 약 1년의 유예기간을 거쳐 2027년 7월부터 국정원 중심의 단일 검증 체계를 시행할 예정입니다.
Q. 기존 CSAP 인증의 유효기간은 그대로 인정되나요?
A. 정부는 2027년 7월 시행 전 취득한 CSAP 인증에 대해서는 기존 인증의 유효기간을 인정하는 방향을 발표했습니다. 다만 실제 적용 범위는 향후 세부 고시를 통해 확인할 필요가 있습니다.
Q. SaaS 기업도 CSAP 개편 영향을 받나요?
A. 네. 공공기관에 서비스를 제공하거나 진출을 준비하는 SaaS 기업은 새로운 검증체계와 향후 구체화될 보안 요구사항을 확인해야 합니다. 특히 클라우드 보안과 정보보안 체계를 선제적으로 점검하는 것이 중요합니다.
Q. 과기정통부 등록, 조달청 계약 경로도 변경될까요?
A. 현재로서는 확정되지 않았습니다. 과기정통부 이용지원시스템의 등록 기준 변경 여부, 기존 등록 서비스의 처리 방식, 조달청 계약 경로의 유지 여부 모두 개정고시에서 구체화될 예정입니다.
Q. 기존 CSAP 컨설팅 경험이 새 체계에서도 도움이 되나요?
A. 네, 검증 주체와 등급 체계는 바뀌지만 진단·설계·구축·운영으로 이어지는 클라우드 보안의 기본 구조는 유지됩니다. 기존 CSAP 대응 경험이 있는 전문 인력·파트너를 활용하면 전환 부담을 줄일 수 있습니다.
[콘텐츠 출처]
공공 클라우드 '보안 이중 규제' 끝…내년부터 국정원으로 일원화



