惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

宝玉的分享
宝玉的分享
酷 壳 – CoolShell
酷 壳 – CoolShell
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
S
Security @ Cisco Blogs
小众软件
小众软件
D
Docker
博客园_首页
A
About on SuperTechFans
P
Privacy International News Feed
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
A
Arctic Wolf
Spread Privacy
Spread Privacy
有赞技术团队
有赞技术团队
T
Tailwind CSS Blog
Latest news
Latest news
WordPress大学
WordPress大学
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
T
The Exploit Database - CXSecurity.com
C
Cybersecurity and Infrastructure Security Agency CISA
大猫的无限游戏
大猫的无限游戏
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
K
Kaspersky official blog
V2EX - 技术
V2EX - 技术
SecWiki News
SecWiki News
U
Unit 42
GbyAI
GbyAI
H
Hackread – Cybersecurity News, Data Breaches, AI and More
L
LINUX DO - 热门话题
S
Security Affairs
Y
Y Combinator Blog
aimingoo的专栏
aimingoo的专栏
Blog — PlanetScale
Blog — PlanetScale
MongoDB | Blog
MongoDB | Blog
博客园 - 【当耐特】
The GitHub Blog
The GitHub Blog
T
Tenable Blog
W
WeLiveSecurity
Cloudbric
Cloudbric
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
G
Google Developers Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
N
Netflix TechBlog - Medium
F
Full Disclosure
N
News and Events Feed by Topic
D
DataBreaches.Net
P
Proofpoint News Feed
B
Blog RSS Feed
B
Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org

ZDNet Korea

여기어때, 해양 관광 레저·티켓 할인 쿠폰 쏜다 11번가, 5월 바다여행지 숙박·체험 상품 할인 패스트파이브, 작년 매출 1500억원·영업익 60억원 혼다코리아, '뉴 파일럿 블랙 에디션' 사전 계약…7880만원 카카오엔터 추천 4월 화제의 신작 웹툰 4선 휴먼컨설팅그룹, 연구개발 허브 ‘양재센터’ 신설 더벤처스, K뷰티 '클레버스텝스' 시드 투자 민주당 "지방선거 이후 디지털자산기본법 논의 본격화" KFC, 가맹점주 대상 프랜차이즈 컨벤션 개최 스타벅스, 장애인의 날 맞아 공모전 수상작 굿즈 출시 "URL 포함된 고유가 지원금 알림 문자는 사기" 2025년 원화 결제 수출 비중 3.4%…역대 최고 삼양사, 국제베이커리페어 첫 참가…냉동생지 ‘프레팡’ 공개 문체부 콘텐츠 R&D 확대, 현장 체감은 엔비디아, '빌드 어 클로' 한국 첫 공개…"AI 에이전트 직접 구축" LS일렉트릭, 북미 데이터센터에 1700억 규모 전력 설비 공급 스타스테크, 콜라겐 스킨케어 ‘라보페’ 리브랜딩...국내외 유통망 확장 네이버 사우디 직원들 다시 사무실로…중동 사업 재궤도 올해는 결론 나오나…배달앱 사회적 대화기구 재출범부터 ‘균열’ [이종천] 2026년 통신시장, 아직 단통법 시절 ‘금난전권’ 그림자에 갇혀 있는가 KOSA, 의료·바이오 AI 인재 양성…실무형 교육 강화 빅밸류, 10년 만 첫 흑자…"올해 매출 100억원 목표" 트럼프, 호르무즈 해협 봉쇄령…"이란에 통행료 낸 선박 차단" 우리 동네 교통·안전 문제, ‘도시 데이터’로 해결 환경분야 시험·검사 전문성 ↑…산업계 수요 반영, 고난도 분석기술 교육 靑 "종전선언까지 비상대응...매점매석 금지 추가검토" "D램 가격 상승률, 1분기 70%→2분기 30~50%로 둔화 전망" "판교 정보보호클러스터 확 달라져"...9년만에 시설 대폭 개선 보안 개념이 바뀐다...'미토스 보고서' 7월 발표 벤츠, 전국 어디서나 같은 가격…다이렉트 직판제 전환 스타링크 위성 인터넷이 이동통신 결합상품으로 전기차 타이어, 내연기관보다 더 빨리 닳는 이유 [ZD브리핑] 삼성 TV 신제품 발표...AIDC 특별법 논의 속도 조선소 파운데이션 모델 개발 400억원 투입…산업현장 적용 추진 외식업 평균 차액가맹금 2600만원…가장 높은 곳은 치킨 GIST 에너지 전주기 연구체계 구축 "시동" 가맹점 수 1위는 '메가커피'...평균 매출액 1위는 '투썸' 풀무원, 파주 탄현면 일대 '평화의 숲' 가꾸기 진행 장애물 대응 "사람처럼"…4족보행로봇 상용 제어기 선보여 가맹산업 다시 성장 궤도…본부·브랜드·가맹점 수 일제히 증가 자율로봇 학습용 영상, 모자이크없이 원본 활용 가능해진다 연구개발특구, 2030까지 코스닥 400개, 매출 150조원 달성 삼성전자, 에어컨 생산라인 풀가동... 에어컨 수요 급증 대비 [SW키트] 전기차 설계 혁신, 다쏘시스템 '버추얼 트윈'서 나온다 [써보고서] 와이파이 끊어도 AI는 살아있다…구글 'AI 엣지 갤러리' 미·이란 종전협상 결렬...밴스 "핵 포기 확약 못받아" 중동 위기, 재생에너지 전환 불 지폈지만…구조적 제약 여전 KT, 온라인 전용 인터넷 요금제 출시 박윤영 KT, 부산 해저케이블 육양국 점검 미·이란 협상 긴장에도 비트코인 횡보…7만달러선 지켜 '미토스'에 미 백안관도 "사이버보안 비상" LGU+, 내일부터 유심 업데이트-무료 교체 [르포] 금융권 개발자들의 치열한 AI 경쟁…'AWS 게임데이' 가보니 에코프로, 캐나다서 리튬 메탈 음극재 R&D 지원금 64억원 획득 미국-이란 1차 회담 지속…아직 결론 못내 하나은행 '하나원큐', 일상 플랫폼으로 고도화 "이 선물 싫어" 화내는 아이...당신이 부모라면? "잘 팔리는 것 더 많이 팔자"…GS25 상품전략 공유회 가보니 MS 엑스박스, 업적 기능 개편…인사이더 대상 테스트 돌입 '은랑 LV.999' 뜬다…호요버스 '붕괴: 스타레일', 파격 보상 앞세워 3주년 축제 락스타게임즈, 해킹 사건 확인...해커 측 "돈 안 내면 정보 공개" '미토스'에 놀란 세계..."사이버보안 새 시대 예고" 쿠팡, 지방 물류센터 청년 일자리 더 늘린다 스테이블코인 시대, 달러는 질주…원화는 전략 '부재' 동진쎄미켐, "美신너 공장 하반기 양산 가동"...삼성전자와 특허 공동 출원 10만~60만 고유가 피해지원금...취약계층 27일부터 지급 "더러운 빙산인 줄 알았는데"…남극서 미지의 섬 발견 개보위 공무원들 "함께 모여 AI 공부"...'AX 엔진룸' 운영 콘텍트 렌즈로 시선 추적한다…"배터리·센서 필요없어" "AI는 실행, 사람은 설계"…넥써쓰, '위대한 기업' 향한 AX 전략 그래핀에 레이저 쐈더니 ‘가속’…무연료 우주선 가능할까 [우주로 간다] [피지컬AI 윤리] 재난·치안 로봇과 칸트의 정언 명령 NASA 유인우주선 ‘아르테미스 2호’ 무사 귀환 테슬라, 네덜란드서 FSD 사용 승인…유럽 서비스 확대 예고 TSMC, 1분기 최대 실적 경신…AI칩 호황 증명 개보위, 행안부 등과 개인정보 전송 안전성 강화 간담회 이연수 NC AI 대표 "모두가 크리에이터…다른 기업과 협력 원해" [AI는 지금] 엔비디아, GPU 시장서 86% 독주 가능한 까닭은 중기부 추경 1조6900억 확정...스타트업에 6719억 SKT, CPU에 NPU 더해 AI 추론 서버 성능 검증 과기정통부 추경 787억원 확정...청년 창업지원-전통기업 AX 확대 26.2조 전쟁추경 국회 통과...국민 70%에 10만~60만원 지원 메모리 품귀 '장기화' 진입… 韓 팹리스 수급난 고조 [박준성의 SW] AI 에이전트 아키텍처는? [안광섭의 AI 진테제] AI시대 디딤돌과 걸림돌 "300도에도 안 터진다"…열폭주 차단한 나트륨 배터리 나왔다 [영상] "아이폰 울트라, 배터리·두께 모두 잡았다" [카드뉴스] 중동전쟁, 왜 멈추지 않을까 쏠리드, 6G 국책과제 'AI-Native 무선 인터페이스 개발' 주관기관 선정 ETRI 원장 후보 김봉태·박세웅·백용순 박사 선정 LGU+, AWS 기반 AI 플랫폼 구축...인프라 운영 자동화 슈퍼센트 "게임사 넘어 '콘텐츠 테크 기업'으로…핵심 동력은 AI" HKC, 6세대 OLED 투자 '안갯속' 네이버, 빅테크 챗봇 경쟁 접고 생태계 AI 전략 시동 건다 [ZD SW투데이] 뉴엔AI '퀘타' 모델, K-AI 리더보드 종합 1위 外 배민, 5조 클럽 가입…4900억 자사주 소각해 주주환원 LG헬로비전, ‘어디든 간대호’ 연장 편성 넷마블 '왕좌의게임: 킹스로드', 온라인 쇼케이스 티저 영상 공개 '정보 유출' 롯데카드 4.5개월 영업정지 통지에 MBK 책임론 재점화 'K-AI 설계자'에 1000만원 쏜 과기부…배경훈, 행안부 커피차에 '깜놀'
[기고] 공공 클라우드 보안검증 일원화, 이제 '방법' 바꿀 때
이승현 포티투마루 부사 · 2026-04-22 · via ZDNet Korea

공공 클라우드 보안검증 절차가 지난 20일 많은 우려에도 불구하고 국가정보원 단일 체계로 정리됐다. 클라우드보안인증(CSAP)과 국정원 보안성 검증이라는 이중 절차를 하나로 합치고, 기존 CSAP 민간 영역 규범은 ISMS·ISMS-P에 모듈화해 자율 인증으로 전환하며, 새 제도는 1년 유예를 거쳐 2027년 7월부터 본격 시행된다는 내용이다.

필자는 2022년 디지털플랫폼정부위원회 시절 국장으로 재직하며 국정원 보안성 검토 제도에 대해 매뉴얼화와 예측가능성, 투명성 확보를 반복해 요구해 왔다. 그러나 그 요구는 충분히 수용되지 않은 채 현재의 체계가 이어졌다. 절차 일원화는 필요했던 방향이지만 보안 중심 기관으로의 일원화가 자칫 심사 블랙박스화로 이어져 인공지능(AI)과 클라우드 확산에 역행하지 않을까 하는 우려를 지우기 어렵다.

이번 개편 실체는 세 가지로 요약된다. 검증 주체 단일화와 등급 체계 정리, 민관 검증심의위원회 신설과 세부 검증 항목 대외 공개. 모두 의미 있는 거버넌스 재편이다. 국정원은 "기준과 절차는 국정원이 운영하되 구체적인 심사와 평가 결과는 민간 전문가가 참여하는 위원회에서 자율적으로 판단할 것"이라고 설명했고, 2027년 상반기엔 검증제도 운영 지침과 해설서를 제정해 공개할 예정이라고 밝혔다. 과거와 비교하면 분명한 진전이다.

이승현 포티투마루 부사장/전 디지털플랫폼정부위원회 AI플랫폼혁신국장 (사진=지디넷코리아 DB)

문제는 그다음이다. 심사 방법 자체에 대한 언급은 아쉽게도 보이지 않는다. '자동화', '지속 검증', '머신 리더블 증거' 같은 키워드는 이번 발표에 포함되지 않았다. 대통령 직속 국가인공지능전략위원회 산하 보안특별위원회도 "이번 발표는 현행법 체계 안에서의 최선 대안이지만 완성형은 아니며 향후 법 개정을 통해 체계가 다시 변할 수 있다"고 밝힌 바 있다. 즉 이번 개편은 '과도기적 안정' 성격이 짙다. 남은 시간 동안 채워야 할 공백이 분명히 있다는 뜻이다.

보안성 검토의 실제를 들여다보면 일원화만으로 문제가 풀리지 않는 이유가 드러난다. CSAP를 통과한 기업도 추가 보안성 검토에서 무엇을 어떤 기준으로 충족해야 하는지가 명확하게 공개되지 않는다. 심사 과정에서 드러나는 요구사항을 사후적으로 맞춰가는 관행이 반복된 이유다. 이건 개별 담당자의 역량 문제가 아니다. 보안성 검토라는 제도가 애초에 사례별, 서술 중심, 점(點) 단위 심사로 설계된 탓이다. 단순한 공개 그 자체로는 이 구조가 바뀌지 않는다. 무엇을 공개하는가보다 어떤 형식으로 기준이 정의되는가가 더 중요하다.

이번 개편 이후엔 과학기술정보통신부 CSAP가 제공해 오던 일정 수준 예측가능성이 단일 주체 재량적 판단에 더 의존하게 될 가능성이 있다. 민관 검증심의위원회가 공정성과 타당성을 평가한다고는 하지만, 그 평가가 서술형 문서나 측정 가능한 지표 심사 위에서 이뤄지는지는 명시되지 않았다. 후자가 아니라면 그간 폐쇄성을 감안할 때 위원회가 실효적으로 다루기 어려운 영역이 적지 않을 것으로 본다.

미국 연방 위험 및 승인 관리 프로그램(FedRAMP) 역시 지난 10여 년간 이중 규제, 긴 인증 기간, 문서 중심 심사라는 동일한 문제를 안고 있었다. 2025년 FedRAMP가 내놓은 답은 주체의 재편이 아니라 방법론의 근본적 전환이었다. 그 결과물이 FedRAMP 20x다.

FedRAMP 20x 핵심은 '자동화'다. FedRAMP는 20x를 자동화 기반 평가·검증 접근법으로 공식 규정하며 작년 8월 GSA는 이 프로그램 전환을 과정 중심 컴플라이언스에서 결과 중심 보안으로의 이동이라고 정리했다. 2022년 말 제정된 연방 클라우드 보안 인증 제도 법안(FedRAMP Authorization Act)은 GSA에 보안 평가·검토의 자동화 수단을 확립할 법적 의무를 부과했다. 20x는 그 이행 차원이다. 사람이 정리하고 사람이 읽는 구조에서 시스템이 증명하고 시스템이 검증하는 구조로의 재설계다. 

FedRAMP 20x 자동화는 세 요소가 맞물린다. 우선 핵심 보안 지표(KSI)다. NIST SP 800-53의 325개 통제 항목을 로우 56개, 모더레이트 61개의 측정 가능한 지표로 재설계했다. 기업이 서술하는 대신 시스템이 실시간 데이터로 보안 상태를 내보내는 구조다.

보안 통제 머신 리더블 표준(OSCAL)은 인증 기관과의 접점을 표준화해 자동화가 기업 내부에서 끊기지 않도록 한다. FedRAMP는 2025년 Rev5 인증 100건 이상 중 OSCAL 제출이 단 한 건도 없었다는 사실을 확인하고 2027년 9월까지 완전 전환을 의무화했다. 지속 검증도 필요하다. 2단계 파일럿은 KSI의 70% 이상을 자동 검증으로 요구한다. 1년에 한 번 심사하는 구조가 아니라 시스템이 상시 보안 상태를 출력하는 구조다. KSI, OSCAL, 지속 검증 중 하나라도 빠지면 자동화는 완성되지 않는다.

성과는 숫자로 나타나고 있다. GSA는 2025년 8월 기준 평균 인증 기간을 12개월 이상에서 약 5주로 단축했다고 공식 발표했다. 2025년 전체 인증 건수는 144건으로 전년도 49건의 3배 가까운 수준이다. 초기 인증 비용도 기존 50만~100만달러에서 14만5000~18만달러 수준으로 낮아진 것으로 업계는 보고한다. 자동화라는 단일 철학이 비용·속도·처리량 세 지표에서 동시에 성과로 돌아온 것이다.

미국과 한국이 올해 진행한 개편은 같은 문제의식에서 출발해 다른 방향으로 갔다. 미국은 방법을 바꿨고 한국은 주체를 바꿨다. 이 차이가 2027년 7월 이후 공공 클라우드 시장에 어떻게 나타날지를 생각해 보면 그림이 그려진다. 국내 CSP는 여전히 수 개월짜리 서류 기반 심사를 거쳐야 하고 공공 고객은 여전히 점 단위 인증서를 기준으로 도입을 결정한다. 외산 CSP 진입 조건은 결국 단일 주체의 재량적 판단에 따르게 된다. 기업 서비스 업데이트 속도는 인증 체계의 속도에 묶이고 빠르게 변화하는 클라우드 네이티브 서비스와 AI, 서비스형 소프트웨어(SaaS)는 공공 시장 진입을 뒤로 미루게 된다.

업계가 체감하는 변화가 '두 기관을 거쳐야 했던 불편'이 '한 기관의 불투명한 판단에 전적으로 의존하는 불편'으로 대체되는 정도에 그칠 수 있다는 점을 직시해야 한다. 동시에 정부가 추진하는 민간 클라우드 정부리전 방향성과 이번 개편의 정합성도 다시 점검해 볼 필요가 있다.

물론 국정원 의지에 따라 이번 일원화가 긍정적 방향으로 흘러갈 여지도 있고 일원화 자체가 필요했던 부분도 분명 있다. 다만 일원화만으로 문제 해결은 만만치 않다. 보안특위 역시 "향후 법 개정을 통해 체계가 다시 변할 수 있다"고 언급한 만큼 이 15개월은 단순한 이행기가 아니라 다음 단계를 설계할 시간으로 쓰여야 한다.

2027년 7월 시행까지 약 15개월. 이 시간을 가이드라인 문구를 다듬는 데 쓸 것인지, 인증 체계를 자동화 기반으로 재설계하는 데 쓸 것인지에 따라 방향이 크게 달라진다. 우리도 민간 클라우드 정부 리전으로 가야 한다면 미국 경로를 따라가도 된다. 

남은 15개월 동안 한국이 해야 할 일은 분명하다. 기존 117개 검증 항목을 N²SF 등급에 대응하는 한국형 KSI로 재설계하고 OSCAL 한국 프로파일을 공식 채택해야 한다. 독자 포맷을 만들 이유가 없으며 국내외 CSP 모두 비용을 낮출 수 있다.

기준의 형식도 바꿔야 한다. 국정원이 지침·해설서를 공개하기로 한 것은 진전이지만 관건은 그 기준이 서술형인가 측정 가능한 지표형인가다. 비공개는 보안 장치가 아니라 예측가능성을 빼앗는 장치다. 기술 인프라도 뒤따라야 한다. CSP가 공공기관에 보안 상태를 실시간 제공할 수 있는 지속 검증 API 표준이 필요하다. 그리고 시행 전에 국내 CSP·SaaS 기업 대상 공개 파일럿을 빠르게 시작해야 한다. 1년 유예는 적응 기간이 아니라 방법론을 함께 설계할 시간이어야 한다.

관련기사

이 프레임 안에서 민관 검증심의위원회 역할도 재정의될 수 있다. 개별 기업 검증 결과를 사후에 심의하는 것을 넘어 KSI 카탈로그와 OSCAL 프로파일, 지속 검증 API 표준을 지속적으로 개정하는 표준 거버넌스 기구로 자리 잡는 것이다. 앞으로 인공지능전략위 보안특위와 새로 꾸려질 민관검증심의위 전문가들이 더 치밀한 설계로 이 과제를 채울 것이다. 

국정원이 이번 일원화와 세부 검증 항목 공개를 계기로 투명하고 예측 가능하며 기술 변화에 빠르게 대응할 수 있는 체제를 구축해 주기를 희망한다. 일원화 자체는 필요했다고 인정하더라도 문제는 일원화 이후다. 주체를 단순화하는 것만큼, 아니 그 이상으로 방법을 현대화하는 일이 내년 7월까지 우리 앞에 놓인 숙제다. 

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.