[이데일리 신영빈 기자] 정부가 공공 클라우드 보안인증 체계를 전면 개편하기로 하면서 표면적으로는 ‘문턱 완화’ 기대가 커지고 있다. 다만 이중 규제가 정리되는 대신, 기업이 실제로 설계해야 할 보안 전략은 오히려 더 정교해지는 ‘구조 변화’라는 해석도 나온다.

20일 과학기술정보통신부와 국가정보원은 공공 클라우드 시장 진입 시 필요한 검증 절차를 국정원 단일 체계로 일원화하는 정책을 공동 발표했다. 기존처럼 과기정통부의 클라우드보안인증(CSAP)을 받은 뒤 다시 국정원 보안검증을 거쳐야 했던 이중 구조를 해소하겠다는 취지다.

정부는 올해 상반기 중 ‘국가 클라우드컴퓨팅 보안가이드라인’을 개정하고, 1년 유예기간을 거쳐 2027년 하반기부터 제도를 본격 시행할 계획이다. 기존 CSAP 인증 기업은 최대 5년간 자격을 그대로 인정받는다. 유예기간 동안에도 신규 CSAP 인증은 중단 없이 발급돼 시장 공백은 없을 전망이다.

제도 운영을 위해서는 민관 검증심의위원회가 신설된다. 과기정통부 추천 인사와 산·학·연 전문가가 참여해 검증 결과의 공정성과 타당성을 평가하고, 기존 CSAP 평가기관의 전문성도 새 체계에 연계해 행정 연속성을 확보한다는 방침이다.

겉으로 보면 규제가 단순화되는 흐름이다. 민간 영역은 정보보호 및 개인정보보호 관리체계(ISMS) 중심의 자율 인증으로 전환하고, 공공은 국정원 기준을 중심으로 재편하는 ‘이원 구조’가 핵심이다. 정부 역시 기업 부담 완화를 주요 목표로 내세우고 있다.

하지만 기업 현장에서는 단순한 규제 완화로 보기는 어렵다는 시각이 적지 않다. 기존 CSAP가 관리·인적·물리 영역을 포괄하는 ‘전사적 인증’이었다면, 개편 이후에는 공공 서비스에 필요한 핵심 보안 항목 중심으로 검증이 이뤄진다. 불필요한 항목은 줄어들지만, 대신 실제 서비스 단위에서 요구되는 보안 대응은 더 정밀해질 수밖에 없는 구조다.

특히 공공과 민간 대응 전략이 사실상 분리되는 점도 부담 요인이다. 과거에는 CSAP 하나로 공공과 민간을 동시에 대비하는 사례가 많았지만, 앞으로는 공공 시장을 겨냥할 경우 국정원 기준을, 민간 시장은 ISMS 체계를 각각 준비해야 한다. 하나의 인증으로 두 시장을 커버하던 방식은 점차 어려워질 가능성이 크다.

유예기간 역시 ‘대기 시간’이라기보다 전략 판단 구간에 가깝다. 공공기관은 연 단위 예산 구조로 움직이기 때문에 사업을 미루기보다 기존 인증 기반으로 도입을 지속할 가능성이 높다. 상황에 따라서는 지금 CSAP를 확보해 두는 것이 오히려 유리한 선택이 될 수 있다는 분석도 나온다.

가장 큰 변수는 세부 기준이 아직 확정되지 않았다는 점이다. 정부는 유예기간 동안 산업계 의견을 반영해 최종 보안 항목을 설계하겠다는 입장이지만, 항목 수나 수준 등 구체적 기준은 공개되지 않았다. 보안 요건이 ‘핵심 중심으로 최소화’될 것이라는 방향성은 제시됐지만, 실제 기업 부담이 어느 수준에서 결정될지는 미지수다.

해외 사업자 진입 문제도 변수로 남아 있다. 정부는 특정 국가를 배제하지 않고 동일 기준을 적용한다는 원칙을 밝혔지만, 통상 이슈는 별도 협의 대상이라는 입장이다. 제도는 단순화되지만 경쟁 환경은 오히려 더 복잡해질 가능성이 제기되는 이유다.

정부는 이번 개편으로 공공 클라우드 도입 속도를 높이고 기업 부담을 줄일 수 있을 것으로 기대하고 있다. 류제명 과기정통부 2차관은 “부처 간 칸막이를 허물어 기업이 보안 문턱을 더 빠르게 넘도록 하겠다”고 밝혔고, 김창섭 국정원 3차장도 “이중 규제로 인한 부담은 줄이면서도 공공 보안 수준은 유지·강화하겠다”고 강조했다.

이번 개편은 규제를 줄이는 정책이면서 동시에 기업에는 더 높은 수준의 전략적 대응을 요구하는 변화다. 인증 절차는 간소화되지만, 공공·민간 분리 대응, 유예기간 내 투자 판단, 미확정 기준에 대한 선제 준비까지 고려해야 할 요소는 오히려 늘어났다. ‘문턱은 낮아졌지만 설계는 더 어려워진’ 전환이라는 평가가 나오는 배경이다.