NARS Brief 제128호
국회입법조사처 과학방송통신팀·행정안전팀 공동주최 전문가 간담회
국가정보자원관리원 화재,
민간클라우드에 남긴 과제
- 일 시 : 2025년 11월 11일(화) 오후 2시
- 장 소 : 국회입법조사처 세미나3실

발표 이주환 네이버클라우드 클라우드 테크컨설팅 파트리더
참석 홍일표 국회입법조사처 사회문화조사실장
       황현희 국회입법조사처 과학방송통신팀장
       정준화 국회입법조사처 과학방송통신팀 입법조사관
       강은수 국회입법조사처 과학방송통신팀 입법조사관
       박소영 국회입법조사처 과학방송통신팀 입법조사관
       김인태 국회입법조사처 행정안전팀 입법조사관
       박윤정 국회입법조사처 행정안전팀 입법조사관

개요
국회입법조사처는 「국가정보자원관리원 화재, 민간클라우드에 남긴 과제」를 주제로 전문가 간담회를 개최하였다. 이번 간담회는 지난 9월 26일 발생한 국가정보자원관리원 화재와 관련하여 10월 15일에 있었던 「국가정보자원관리원 화재, 진단과 과제 모색」에 이은 후속 간담회다. 공공부문에 서비스를 제공하는 민간클라우드 사업자 중 하나인 네이버클라우드 담당자는 발표에서 정부의 중앙집중식 정보자원관리 방식은 사고 발생 시 ‘단일 장애 지점’으로 작용할 수 있다고 보고, 민간클라우드를 활용하여 사고 위험을 분산시키고 재해 복구(Disaster Recovery, DR) 탄력성을 강화할 필요가 있다고 보았다. 다만, 공공부문에서 민간클라우드를 활용하기 위한 요건들이 충분히 정비되지 않았고, 요건 간 상호 연계도 모호한 부분이 있어서 민간클라우드 사업자뿐만 아니라 서비스 도입을 고려하는 공공부문 담당자에게도 불확실성이 존재한다는 점을 지적하였다. 아울러 공공부문에서 그동안 후순위로 취급되어 온 DR의 중요성이 이번 화재를 계기로 재정립된 만큼, 앞으로 공공부문 DR 전략을 체계적으로 마련해야 한다는 의견도 제시되었다.

발표 요지
지난 9월 26일 발생한 국가정보자원관리원 화재는 정부가 공공 정보자원을 직접·통합 관리하는 방식이 사고 발생 시 ‘단일 장애 지점’으로 작용하여 국가 행정을 전면 중단시킬 수 있음을 보여주었다. 또한 사고는 언제든 발생할 수 있으므로 사전 예방만으로는 부족하고, 재해 복구(Disaster Recovery, DR) 체계까지 미리 갖추어야 한다는 점을 분명히 인식시켰다.
이러한 맥락에서 민간클라우드는 지역별로 분산된 데이터센터와 다양한 DR 방식을 기반으로 공공 정보자원 관리의 위험을 분산시키고 복구 탄력성을 높일 수 있는 현실적 대안으로 평가된다.
다만, 공공부문은 중요하고 민감한 정보를 다루고 있어서 민간클라우드가 공공부문에 진입하기 위해서는 크게 두 가지 요건을 충족해야 한다. 첫째, 과학기술정보통신부의 ‘클라우드 서비스 보안인증(Cloud Security Assurance Program, CSAP)’을 받아야 한다. CSAP는 IaaS, SaaS, DaaS 등 클라우드 서비스 유형별 보안 적합성을 인증하는 것으로, 2023년에 인증 등급을 상·중·하로 구분하는 방식이 추가되었다. 다만, 현재 ‘하’ 등급 기준만 마련되어 있고, ‘중·상’ 등급 기준은 향후 제시할 예정이며, 그때까지 기존에 각 유형별로 받은 CSAP 인증은 유효기간 내에서 ‘중’ 등급으로 간주된다.
둘째, 국가정보원의 ‘국가 망 보안체계(National Network Security Framework, N2SF)’ 요건을 충족해야 한다. N2SF는 정보의 내용을 기밀(Classified)·민감(Sensitive)·공개(Open)의 C·S·O 등급으로 분류하고, 이를 처리하는 정보시스템 역시 동일한 등급 체계를 적용하는 방식이다. 그 결과 ‘C’ 등급 정보시스템은 업무영역에 위치하고 외부 인터넷 연결이 엄격히 통제된다. ‘S’ 등급 정보시스템은 업무영역에 위치하지만, 일정 조건을 충족할 경우 외부 인터넷 접근이 허용되기 때문에 민간클라우드 도입이 제한적으로 가능하다. ‘O’ 등급은 인터넷영역에 위치하여 민간클라우드 이용이 자유롭다.
문제는 CSAP가 ‘민간클라우드의 보안 등급’을, N2SF는 ‘공공 정보자원의 보안 등급’을 규정하고 있어서 그 목적과 적용 대상이 다르고, 아직 CSAP와 N2SF의 세부 기준이 정립되지 않아서 두 제도 간 연계가 완벽하지 않다는 점이다. 예를 들어, IaaS에 대한 CSAP 인증은 ‘중’ 등급의 보안 수준이 인정되는 상황에서, 해당 인증이 N2SF의 ‘S’ 등급 정보시스템까지 포괄할 수 있는 것인지 ‘O’ 등급만 가능한지가 명확하지 않다. 그 결과 민간클라우드 공급을 준비하는 사업자와 도입을 고려하는 공공부분 담당자 모두에게 제도적 불확실성이 존재한다.

향후 과제
단기적으로는 CSAP의 ‘중·상’ 등급 기준을 마련하고, N2SF의 C·S·O 등급별 요구사항도 명확히 제시하는 등 규정을 정비해야 한다. 이를 통해 제도 간 정합성을 확보하고, 민간과 공공 모두 민간클라우드 확대에 대한 예측 가능성을 높일 수 있도록 해야 한다.
중장기적으로는 공공부문 DR 전략을 마련해야 한다. 지금까지 DR은 예산과 정책에서 후순위에 있었고, 개별 부처에서도 DR 도입 유인이 부족했다. 이러한 국면을 전환하기 위해서는 DR의 필요성과 부처별·시스템별 요구사항을 명확히 설정하고, 공공클라우드와 민간클라우드를 효과적으로 활용하는 DR 전략을 마련할 필요가 있다.
국회입법조사처는 이번 간담회를 계기로 민간클라우드 사업자, 과학기술정보통신부·국가정보원 등 관계 부처, 학계 전문가와의 논의를 통해 공공부문에서 민간클라우드를 안전하고 효율적으로 활용할 수 있는 방안을 지속적으로 모색해 나갈 계획이다.

  
문 의 : 정준화 입법조사관(과학방송통신팀)
02-6788-4715, joonhwa@assembly.go.kr
김인태 입법조사관(행정안전팀)
02-6788-4565, itkim@assembly.go.kr