과학기술정보통신부가 클라우드 보안인증에 등급제도를 도입하는 등 정보보호 규제개선 방안을 발표했다. 규제 개선으로 혁신 기술을 신속하게 도입할 수 있게 돼 사이버 보안 역량을 강화하고, 관련 산업의 활성화에도 기여할 것으로 과기정통부는 기대했다.

눈에 띄는 부분은 클라우드 보안인증(CSAP)의 등급제 도입이다. 획일적 보안인증 체계에서 시스템 중요도를 기준으로 3등급으로 보안인증을 차등화하는 것이다.

이를 통해 민간 클라우드 이용을 활성화하고 더 많은 기업이 공공 클라우드 사업에 참여할 수 있게 된다.

기존 CSAP는 공공기관용 클라우드 서버의 물리적 망분리 등 강력한 보안을 요구했다. 개정안에서는 민감정보 등을 다루는 클라우드에 대해서는 보안성을 높이고, 보안 위험이 상대적으로 낮은 공개데이터를 다루는 클라우드에 대해 평가기준을 완화한다는 방침이다.

등급제가 실현되면 공공 클라우드 중 일부는 아마존웹서비스(AWS), 마이크로소프트(MS) 애저 등의 글로벌 클라우드 서비스 이용이 가능하게 될 것으로 예상된다. 

과기정통부는 디지털플랫폼정부위원회 등 관계기관과 산·학·연·관 등 이해관계자의 의견 수렴을 거쳐 구체적 개정안을 마련하고, 개정 이후에도 현장 적용을 지속 모니터링하고, 추가 개선사항을 발굴해 개선 효과를 극대화할 계획이다.

공공기관의 정보보호 제품 도입에 대한 패스트트랙도 마련된다. 현재 공공기관에서 정보보호제품을 도입할 때에는 공통평가기준(CC) 인증 제품만 가능하다. 

하지만 이는 최신 사이버공격에 대한 대응력을 낮춘다는 지적도 있다. CC라는 명확한 평가기준이 있는 20여종만 도입이 가능하고 아직 기준이 마련되지 않은 신기술, 융·복합 제품은 도입할 수 없어 급변하는 사이버위협에 발빠르게 대처하기 힘들었기 때문이다. 

이러한 문제 해결을 위해 정보보호제품 신속확인제도를 신설, 신기술과 융·복합 제품을 공공기관이 빠르게 활용할 수 있도록 한다는 방침이다. 외교·국방 등 민감 기관을 제외한 수요 기관이 신속확인 제품을 도입할 수 있도록 국정원 보안적합성 검증체계도 개선된다.

신속확인은 정보보호 전문서비스 기업으로부터 취약점 점검, 소스코드 보안약점 진단을 받고, 신속확인심의위원회의 보안성 심사를 통과하면 즉시 공공기관 도입이 가능하도록 하는 제도다. 

신속확인제품은 2년마다 연장할 수 있으며, 향후 보안인증 기준(국가용 또는 일반 보안요구사항 등)이 마련되면 정식인증을 받아야 한다. 과기정통부는 8월 중 정보보호시스템 평가·인증 지침 개정에 대한 행정예고를 진행, 4분기에 신속확인제를 시행할 계획이다.

이외에 위성 영상 활용 활성화를 위해 사전 보안처리가 필요한 위성영상 해상도 기준을 현행 4m에서 1.5m로 완화하고, 보안처리 필요 시설을 포함하지 않은 경우에는 보정하지 않은 좌표를 포함한 위성영상의 온라인 배포를 허용하는 규제 완화도 추진하기로 했다. 이를 통해 국내 위성정보 활용 산업 활성화를 꾀하겠다는 것이다.