국가정보원이 오는 7월부터 시행 예정인 ‘국가망보안체계(N²SF)’ 가이드라인을 앞두고 클라우드 업계와 공공기관 내부에서 혼란이 이어지고 있다. 기존의 클라우드 보안인증제도인 CSAP와의 중복 규제 및 이중 심사 가능성에 대한 우려가 해소되지 않으면서다.
N²SF는 공공부문에서 인공지능(AI)과 클라우드 등 신기술의 활용을 높이기 위한 보안체계로, 기존의 물리적 망분리 규제를 완화하겠다는 취지다. 국정원은 상반기 중 선도 사업과 컨설팅을 통해 안정성을 검증한 뒤 하반기부터 정식 시행에 나설 방침이다.
기존의 과학기술정보통신부 주관 CSAP는 민간 클라우드 서비스가 공공 부문에 진입하기 위해 필수로 획득해야 하는 보안 인증제도다. 서비스 중요도에 따라 상·중·하로 등급을 나누며, 인증 획득을 위한 비용도 적지 않다. 컨설팅과 최초 인증에 약 8천만 원이 소요되며, 5년 단위로 갱신 비용도 발생한다. 이에 중소 소프트웨어 업계에서는 CSAP가 SaaS 전환의 걸림돌이라는 지적도 제기돼 왔다.
N²SF는 공공 전산망을 중요도에 따라 기밀(Classified), 민감(Sensitive), 공개(Open)으로 분류하고, 중요도가 낮은 시스템에 대해 클라우드 기반 SaaS와 생성형 AI 도구의 활용을 허용한다. 업계에서는 이러한 체계가 도입될 경우 사업 기회가 확대될 것으로 기대하고 있다.
그러나 N²SF의 드래프트 버전이 공개된 이후에도 CSAP와의 관계가 명확히 정리되지 않으면서 혼란이 가중되고 있다. 일부에서는 고비용을 들여 CSAP 인증을 획득한 기업들이 N²SF 시행 이후 오히려 불이익을 받을 수 있다는 우려도 나온다.
국정원은 이에 대해 N²SF와 CSAP는 평가 목적과 대상이 다르며, CSAP 제도가 폐지되거나 통합되지 않는다고 밝혔다. 기존에 CSAP 인증을 받은 서비스는 별도의 중복 심사 없이 N²SF 기준에 따라 보완 검증만 진행된다는 설명이다.
하지만 이 같은 설명에도 불구하고 클라우드 및 소프트웨어 업계는 N²SF와 CSAP의 공통점과 차이점을 자체적으로 분석하며 혼선을 줄이려 하고 있다. 한 업계 관계자는 “기업이 알아서 분석할 게 아니라, 국정원과 과기정통부가 먼저 제도 간 충돌이 없다는 점을 명확히 해야 한다”고 지적했다.
공공기관 IT 담당자들 역시 혼란을 겪고 있다. 기존 CSAP 기준에 따라 분류한 기관 시스템을 N²SF 기준인 C·S·O 체계로 다시 재분류해야 하기 때문이다. 이로 인해 하반기 클라우드 관련 사업 발주나 SaaS 도입이 축소될 수 있다는 우려도 나온다.
국정원은 상반기 중 선도 사업을 통해 안전성을 검증하고, 희망 기관을 대상으로 한 컨설팅 등을 진행해 제도 조기 정착을 유도할 계획이다. 하반기에는 가이드라인 미비점을 보완해 정식 배포할 예정이다.
About the Author
