25일 IT업계에 따르면 국정원은 내년 2월 발표를 목표로 MLS 가이드라인을 만들고 있다. MLS는 획일적인 망분리 정책에서 벗어나 업무 중요도에 따라 적절한 보안 조치를 갖추면 외부 인터넷 망과 연결해 업무를 볼 수 있게 하는 새로운 망정책이다. 데이터 등급을 C(기밀·Classified), S(민감·Sensitive), O(공개·Open)로 분류하고, 3개 등급별로 차등화된 보안정책을 운영하는 것이 골자다.
|
국정원에 따르면 CSAP를 획득한 경우 O등급 시장 참여 시 검증 항목 일부가 대체 가능하다. CSAP는 과기정통부가 마련한 클라우드 보안 인증 제도로, 국정원은 MLS 체계 도입 후에도 O 등급 사업에 참여하는 기업이 CSAP를 보유한 경우 검증항목이 겹치는 부분은 CSAP로 대체하기로 했다. 국정원 관계자는 “CSAP가 O등급 사업에 참여할 수 있는 ‘프리패스’는 아니지만, 기업이 중복 검증을 받지 않도록 간소화한다는 취지”라고 설명했다.
주목되는 부분은 CSAP 상중하 등급에 대한 차이를 MLS 체계에서는 따로 구별하지 않는다는 점이다. 과기정통부는 CSAP를 상·중·하 3개 등급으로 나눠, 하등급은 논리적 망분리를 허용해 외국계 클라우드에 열어줬다. 하지만 MLS 등급 체계에선 CSAP 상·중·하 등급 중 어떤 것을 따더라도 O등급 사업에 참여하는 데에는 차등이 없다.
한편, 과기정통부도 CSAP 상중하 구분을 놓고 고심에 빠진 상황이다. 과기정통부는 당초 9월 말까지 CSAP 상·중 등급에 대한 요건을 담은 고시를 마련할 계획이었으나, 국정원의 MLS 체계와 맞추기 위해 고시 개정을 연기한 상태다. CSAP 상중하 등급이 큰 의미가 없어진 만큼 재검토될 수도 있다는 전망도 나온다.