며칠전 4월 20일, 결국은 많은 우려에도 불구하고, 공공 클라우드 보안 검증 절차를 국정원 단일 체계로 정리가 되었네요. CSAP와 보안성 검증이라는 이중 절차를 하나로 합치고, 기존 CSAP의 민간 영역 규범은 ISMS·ISMS-P에 모듈화해 자율 인증으로 전환하며, 2027년 7월부터 새 제도를 본격 시행한다는 내용입니다.
당초, 디지털플랫폼정부위 시절, 그러니까 2022년에 국정원은 불투명한 보안성 검토를 메뉴얼화하고 예측가능하게 바꾸기로 했었습니다만, 그 부분이 지켜지지 않았기에,
절차 일원화는 좋지만, 아무래도 보안을 중시하는 원 중심의 일원화는 오히려 블랙박스화되어 AI와 클라우드에 역행하지 않을까 우려가 됩니다.
뭐. 하지만 그럼에도 불구하고, 이렇게 정해진거니 앞으로 어떤 대책을 마련해야할지, 수년간 이 부분을 고민해왔던 사람중 한명으로서 몇가지 얘기해보려 합니다.
이번 개편의 실체는 세 가지로 요약됩니다. 첫째, 검증 주체의 단일화. 둘째, 등급 체계의 정리(상·중·하 → N2SF C·S·O 연계). 셋째, 민관 검증심의위원회의 신설. 모두 거버넌스의 재편입니다. 심사의 방법 자체에 대한 언급은 아쉽게도 없습니다. 당연히 이제 시작일수 있지만, 그동안 논의 자체를 오래해왔다는 점에서 아쉽습니다. “자동화”, “지속 검증”, “머신 리더블 증거” 같은 내용들은 언급되지 않았습니다.
이것이 왜 문제인지는 보안성 검토의 실제를 들여다보면 드러납니다. 저는 2022년부터 국장 재직 중 원의 보안성 검토 제도에 대해 매뉴얼화, 예측가능성, 투명성 확보를 반복해서 요구했습니다. 그러나 이 요구는 충분히 수용되지 않은 채 현재의 체계가 이어져왔습니다.
CSAP 를 통과해도, 추가적인 원의 보안성 검토에서 기업이 공공 시장 진입을 위해 무엇을 어떤 기준으로 충족해야 하는지가 명확하게 공개되지 않고, 심사 과정에서 드러나는 요구사항을 사후적으로 맞춰가는 관행이 반복되어온 것이 사실이죠.
이런건 개별 담당자의 역량 문제가 아닙니다. 보안성 검토라는 제도가 애초에 사례별,서술 중심, 점 단위 심사로 설계된 구조가 가져온 결과인거죠.
일원화가 이 구조를 바꿔주지 않습니다. 오히려 그동안 과기정통부 CSAP가 제공해오던 일정 수준의 예측가능성 – 공개된 평가 항목, 명시된 갱신 주기, 정해진 유효 기간 – 이 점진적으로 사라지고, 기업들은 단일 주체의 재량적 판단에 더 의존하게 됩니다.
민관 검증심의위원회가 공정성과 타당성을 평가한다고 하지만, 그 평가가 어떤 기준 위에서 이뤄지는지 – 서술형 문서 심사인지, 측정 가능한 지표 심사인지 – 는 발표에 명시되지 않았습니다. 후자가 아니라면, 그동안 국정원의 폐쇄성을 감안하면 위원회가 커버하기 상당부분 어려울 수 있다고 봅니다.
미국 FedRAMP 역시 지난 10여 년간 이중 규제, 긴 인증 기간, 문서 중심 심사라는 동일한 문제를 안고 있었습니다. 2025년 FedRAMP가 내놓은 답은 주체의 재편이 아니라 방법론의 근본적 전환이었습니다. 그 결과물이 FedRAMP 20x입니다.
제가 보는 FedRAMP 20x의 핵심은 ‘자동화’입니다. FedRAMP는 20x를자동화 기반 평가·검증 접근법(automation-based approach to assessment and validation)으로 공식 규정하고 있으며, 2025년 8월 GSA는 이 프로그램의 전환을 “과정 중심 컴플라이언스에서 결과 중심 보안으로의 이동”이라고 정리했습니다. (이게 중요합니다. 결과 중심!)
2022년 제정된 FedRAMP Authorization Act 자체가 GSA에게 보안 평가·검토의 자동화 수단을 확립할 법적 의무를 부과하고 있고, 20x는 그 이행으로 봐야 합니다. 보안 인증의 전 과정을 사람이 정리하고 사람이 읽는 구조에서, 시스템이 증명하고 시스템이 검증하는 구조로 재설계한 것입니다.
이 자동화를 실제로 작동시키기 위해 세 가지 구성 요소가 맞물려 설계됐습니다. 1)무엇을 자동화할 것인가, 2)어떻게 자동화 결과를 표현할 것인가, 3)얼마나 자주 자동화를 돌릴 것인가입니다.
먼저, 무엇을 자동화할 것인가의 답이 KSI(Key Security Indicators, 핵심 보안 지표)입니다. 기존 NIST SP 800-53의 325개 이상 통제 항목을 Low 등급 56개, Moderate 등급 61개의 측정 가능한 보안 결과 지표로 재설계했습니다.
단순히 압축하고 줄인게 아니라, 각 KSI가 기술 구성에서 자동으로 도출될 수 있도록 처음부터 설계됐습니다. 기업이 “MFA를 이렇게 구성했다”고 서술하는 대신, 시스템이 “MFA가 100% 적용되고 있음”을 실시간 데이터로 내보냅니다. 서술 중심의 항목은 애초에 자동화가 불가능합니다. 자동화하려면 자동화할 수 있는 형태로 항목 자체를 다시 써야 합니다. KSI는 그 작업으로 보면 됩니다.
어떻게 자동화 결과를 표현할 것인가의 답은 OSCAL(Open Security Controls Assessment Language)입니다. NIST가 2016년부터 개발해온 보안 통제의 머신 리더블 표준입니다.
각 기업이 제각각의 포맷으로 만들면, 자동화는 기업 내부에서만 작동하고 인증 기관과의 접점에서 당연히 끊깁니다.
OSCAL은 그 접점을 표준화합니다. 2026년 1월 FedRAMP가 발표한 RFC-0024는 OSCAL 기반 머신 리더블 인증 패키지를 20x 제공자뿐 아니라 기존 Rev5 제공자에게도 의무화하고, 2026년 9월 30일부터 발효시킵니다. 미이행 시 공개 통지까지 명시했습니다.
FedRAMP는 2025년 Rev5 인증 100건 이상 중 OSCAL을 사용한 제출물이 단 한 건도 없었다고 실토했습니다. 표준을 깔아두기만 해서는 시장이 움직이지 않기 때문에, 아예 강제 장치를 추가한 것입니다.
얼마나 자주 자동화를 돌릴 것인가의 답이 지속 검증(continuous validation)입니다. Phase 2 파일럿은 KSI의 최소 70% 이상을 자동 검증으로 측정하도록 요구합니다. 1년에 한 번 심사하는 구조가 아니라, 시스템이 지속적으로 보안 상태를 머신 리더블 포맷으로 출력하는 구조입니다.
변경 관리도 이원화됐습니다. 경미한 변경은 간소화된 보고로 처리되고, 구조적 변경만 제3자 재평가 대상입니다. 자동화가 한순간의 정적 status로 하는게 아니라 stateful 하게 작동하도록 제도가 뒷받침합니다.
자동화를 구현하려면 이렇게 세 가지가 모두 필요합니다. 자동화 가능한 항목 설계(KSI), 자동화 결과의 표준 표현(OSCAL), 자동화의 지속적 작동(continuous validation). 하나라도 빠지면 자동화는 완성되지 않습니다.
비공식 자료들에 따르면, 초기 인증 비용이 15만~18만 달러 수준으로, 기존 50만~200만 달러 이상에서 대폭 감소했다고 합니다. 2025 회계연도 말 기준 평균 인증 기간은 12~18개월에서 약 5주로 줄었습니다. 자동화라는 단일 철학의 도입이 비용과 속도 두 지표에서 동시에 성과로 돌아왔다고 봐야합니다,
미국과 한국의 2026년 개편은 같은 문제의식에서 출발해 다른 방향으로 갔습니다. 미국은 방법을 바꿨고, 한국은 주체를 바꿨습니다.
이 차이가 2027년 7월 이후 공공 클라우드 시장에 어떻게 나타날지 생각해보면, 대충 그림이 그려집니다.
국내 CSP는 여전히 수개월짜리 서류 기반 심사를 거쳐야 하고, 공공 고객은 여전히 점 단위 인증서를 기준으로 도입을 결정합니다.
외산 CSP의 진입 조건은 결국 단일 주체의 재량적 판단에 따르게 되겠죠. 기업의 서비스 업데이트 속도는 인증 체계의 속도에 묶이고, 빠르게 변화하는 클라우드 네이티브 서비스와 AI, SaaS 는 공공 시장 진입을 뒤로 미루게 됩니다. 업계가 체감할 수 있는 변화는 “두 기관을 거쳐야 했던 불편”이 “한 기관의 불투명한 판단에 전적으로 의존하는 불편”으로 대체되는 정도에 그칠 수 있다는걸 직시해야 합니다.
그리고, 민간클라우드 정부리전으로 가겠다는 방향성과도 allignment 가 맞는지 고민해봐야 합니다.
물론, 원의 의지에 따라, 일원화가 좋게 흘러갈수 도 있습니다. 그리고 일원화가 필요했던 부분도 있습니다. 하지만, 일원화만으로는 문제해결은 만만치 않습니다.
2027년 7월 시행까지 약 15개월이 남아 있습니다. 이 시간을 가이드라인 문구를 다듬는 데 쓸 것인지, 인증 체계를 자동화 기반으로 재설계하는 데 쓸 것인지에 따라 방향이 달라진다고 생각합니다. (물론 만만치 않겠죠)
먼저, 미국을 따라가도 됩니다. 우리도 어차피 이제 민간클라우드 정부리전으로 가야하기 때문에, 따라가도 됩니다. 한국형 KSI 카탈로그를 수립해야 합니다. 기존 117개 검증 항목을 기계적으로 이관·유지하는 대신, N2SF C·S·O 등급에 대응하는 측정 가능한 보안 결과 지표로 재설계할 필요가 있습니다.
지표는 공개되어야 하고, 각 지표는 자동 검증 가능한 형태로 정의되어야 합니다. 미국의 KSI가 NIST SP 800-53 통제에 매핑되듯, 한국도 기존 보안성 검토 항목과의 트레이서빌리티를 유지하면서 측정 가능한 지표로 전환할 수 있을 것이라고 생각합니다.
둘째, OSCAL 한국 프로파일을 공식 채택해야 합니다. OSCAL은 국제 표준입니다. 한국이 독자적인 머신 리더블 포맷을 만들 이유가 없습니다. 미국 FedRAMP와 NIST가 구축해온 구조를 한국의 공공 보안 요건에 맞춰 프로파일화하면, 국내 CSP는 해외 진출 시 이중 문서화 부담을 덜 수 있고, 외산 CSP 역시 한국 진입 시 추가 비용을 낮출 수 있습니다.
셋째, 보안성 검토 기준을 단계적으로 공개해야 합니다. 모든 기준을 일시에 공개하기 어렵다면, 최소한 평가 항목과 판단 기준을 기업이 사전에 열람할 수 있도록 해야 합니다. FedRAMP가 공개 RFC 절차와 커뮤니티 워킹 그룹을 통해 기준 자체를 공개적으로 설계하고 있다는 점은 중요한 시사점입니다. 이부분을 검증위원회가 맡을수 있을것으로 봅니다.
기준이 공개되어도 보안은 약해지지 않습니다. 오히려 기업의 사전 준비 수준이 올라가 실제 보안 효과는 강화되죠. 오히려, 비공개는 보안을 지키는 장치가 아니라, 예측가능성을 빼앗는 장치입니다.
넷째, 지속 검증을 위한 API 표준을 제정해야 합니다. CSP가 공공기관의 인증 관리 시스템에 자신의 보안 상태를 실시간으로 제공할 수 있는 인터페이스 규격이 필요합니다. 1회성 인증서가 아닌 지속적인 보안 상태 증명으로 전환해야 한국도 클라우드 네이티브의 변경 속도에 부합하는 거버넌스를 가질 수 있습니다. 이 과제는 KSI와 OSCAL 채택이 선행되어야 의미 있게 풀립니다.
다섯째, 2027년 7월 시행 전 공개 파일럿이 필요합니다. 국내 CSP 5~10개사를 대상으로 한국형 KSI 초안과 OSCAL 프로파일을 적용해보는 파일럿을 지금 시작해야 합니다. FedRAMP 20x가 Phase 1과 Phase 2의 공개 파일럿을 통해 표준을 다듬어온 방식은 참고할 만합니다. 가이드라인 개정 후의 1년 유예는 기업이 기존 체계에 적응할 시간인 동시에, 정부가 방법론을 함께 설계할 시간으로 활용되어야 합니다.
민관 검증심의위원회의 역할도 이 프레임 안에서 재정의할 수 있습니다. 개별 기업의 검증 결과를 사후에 심의하는 것을 넘어, KSI 카탈로그와 OSCAL 프로파일, 지속 검증 API 표준을 지속적으로 개정하는 표준 거버넌스 기구로 자리 잡아야 합니다.