클라우드 보안인증제(CSAP) 개편 — 공공기관 클라우드 전환 가속화

핵심 요약: 과학기술정보통신부가 클라우드 보안인증제(Cloud Security Assurance Program, CSAP)를 전면 개편한다고 발표했습니다.

AWS, 마이크로소프트 애저, 구글 클라우드 등 글로벌 클라우드 기업들은 2등급 인증을 통해 한국 공공시장 진출이 확대될 것으로 기대하고 있습니다.

새로운 CSAP는 2026년 하반기부터 시행되며, 기존 인증 보유 기업에는 1년의 전환 유예기간이 주어집니다.

CSAP 전면 개편, 무엇이 달라지나

과학기술정보통신부가 클라우드 보안인증제(Cloud Security Assurance Program, CSAP)를 전면 개편한다고 발표했습니다. 기존의 단일 인증 방식에서 3등급 체계로 전환하여, 데이터 민감도에 따라 차등화된 보안 요건을 적용합니다.

1등급(최고 보안): 국가 기밀 및 외교·안보 관련 데이터를 다루는 시스템에 적용됩니다. 국내 전용 데이터센터 운영, 물리적 망분리, 국가정보원 보안 적합성 검증을 필수로 요구합니다. 2등급(표준 보안): 개인정보 및 공공 행정 데이터를 처리하는 대다수 공공 시스템에 적용됩니다. 국내 데이터센터 우선이지만, 인증된 글로벌 클라우드도 활용 가능합니다. 3등급(기본 보안): 공개 정보나 비민감 데이터를 다루는 시스템에 적용됩니다. 가장 완화된 요건으로, 스타트업이나 중소 클라우드 기업도 인증을 받기 용이합니다.

---

산업계 반응, 어떻게 평가되나?

AWS, 마이크로소프트 애저, 구글 클라우드 등 글로벌 클라우드 기업들은 2등급 인증을 통해 한국 공공시장 진출이 확대될 것으로 기대하고 있습니다. 그간 단일 인증의 높은 보안 요건이 사실상 국내 기업에 유리했다는 지적이 있었기 때문입니다.

반면 NHN클라우드, KT클라우드, 네이버클라우드 등 국내 기업들은 보안 역량이 약화될 수 있다는 우려를 표명했다. 규제 완화로 해외 클라우드 사업자의 진입이 수월해지면, 국내 기업만의 보안 경쟁력이 희석될 수 있다는 논리로 풀이된다. 다만 1등급 인증은 여전히 국내 기업만 취득할 수 있어, 최고 보안이 요구되는 공공 시장에서는 국내 기업의 우위가 유지된다고 밝혔다.

---

전환 일정과 영향, 어떤 영향을 미치나?

새로운 CSAP는 2026년 하반기부터 시행되며, 기존 인증 보유 기업에는 1년의 전환 유예기간이 주어집니다. 교육부, 국세청 등 대형 공공기관의 클라우드 전환이 본격화되면서 관련 시장 규모가 2027년까지 3조 원을 넘어설 것으로 전망됩니다.

클라우드 및 보안 서비스 정보는 주소모아에서 확인할 수 있습니다.

---

함께 읽으면 좋은 기사

• 관련 기사: 양자암호 통신망 전국 구축 착수 — 해킹 불가능한 보안 인프라 시대
• 관련 기사: AI로 막는 보이스피싱 — 금융보안원 ASAP 플랫폼과 통신사 AI 방어 체계

---

자주 묻는 질문

Q1. CSAP 3등급 개편 후 국내 기업과 AWS·구글 중 어떤 클라우드를 선택해야 공공 프로젝트에 유리한가요?

사업 유형에 따라 인증 기준이 확연히 달라진다. 1등급 사업(국가 기밀·안보 데이터 처리)은 네이버클라우드, KT클라우드, NHN클라우드 등 국내 기업만 참여 가능한 상황이 지속되는 반면, 2등급 사업(일반 공공 행정·개인정보 처리)은 2026년 하반기 이후 AWS·Azure도 진입할 수 있게 된다. 업계 컨센서스는 이를 국내 클라우드 기업들의 경쟁력 강화 시간으로 보는 편이다. 현재 AWS·Azure를 중심으로 서비스를 제공 중인 기업이라면 공공 2등급 사업 입찰을 노려볼 경우 새 기준에 부합하는 CSAP 2등급 신청을 미리 준비해야 한다고 밝혀졌다. KISA(인터넷진흥원) 공식 사이트(www.kisa.or.kr)에서 등급별 인증 기준과 심사 비용을 확인할 수 있다.

Q2. CSAP 인증 취득에 얼마나 걸리고 비용은 얼마나 드나요?

기존 단일 인증 기준으로 CSAP 취득에는 심사 준비 포함 6개월~12개월, 심사 비용은 규모에 따라 3,000만~1억 원 이상이 소요됐습니다. 3등급 체계 도입 후 3등급 기본 보안 기준은 심사 항목이 줄어 3개월~6개월, 500만~2,000만 원 수준으로 낮아질 것으로 전망됩니다. 단, 2등급 이상은 기존과 유사한 수준의 비용과 기간이 필요합니다. 정식 수수료 기준은 2026년 하반기 시행 후 KISA 공고를 통해 확정됩니다.

Q3. 내가 이용하는 공공 서비스(민원24, 건강보험 앱 등)의 데이터가 외국 클라우드에 저장될 수 있나요?

2등급 허용 후에도 주민등록·의료 기록·세금 데이터 등 고민감 데이터는 1등급 클라우드(국내 기업 전용) 에만 저장됩니다. 2등급은 상대적으로 덜 민감한 행정 데이터(민원 처리 로그, 비개인화 통계 등)에 적용됩니다. 또한 2등급에서 AWS·Azure를 사용하더라도 한국 내 데이터센터(AWS 서울 리전 등) 에서만 저장·처리되어야 하므로, 데이터가 해외로 이전되지는 않습니다. 민감한 개인정보가 외국 기업 서버에 저장된다는 우려는 현재 규정상 근거가 없습니다.

---

주소모아에서 바로가기

이 기사에서 다룬 서비스를 주소모아에서 바로 확인하세요.

• 구글 — 글로벌 검색 엔진
• AWS — 클라우드 서비스

---

💡 주소모아 에디터 관점 — CSAP 개편이 기업 IT 담당자와 스타트업에게 의미하는 것

CSAP 개편은 공공기관만의 이야기가 아닙니다. 공공기관에 서비스나 솔루션을 납품하는 B2B 기업, 공공 데이터를 활용하는 스타트업, 그리고 보안 인증 사업에 진입하려는 클라우드 기업 모두에게 직접적인 영향이 있습니다.

공공 SaaS 시장 진입 기회가 넓어집니다. 기존 단일 CSAP 인증은 심사 비용이 수천만 원에서 억 단위에 달했고, 중소 SaaS 기업에게는 사실상 진입 장벽이었습니다. 3등급 기본 보안 요건은 상대적으로 완화되어, 비민감 공공 데이터를 처리하는 행정 시스템용 SaaS라면 중소 기업도 인증 취득이 현실적으로 가능해집니다. 공공기관 납품 레퍼런스를 원하는 B2B 스타트업이라면 3등급 인증을 선행 전략으로 고려할 만합니다. AWS·Azure 활용 기업의 공공사업 참여 가능성이 열립니다. 글로벌 클라우드를 이미 사용 중인 기업이 공공 프로젝트에 입찰할 때, 이전에는 국내 CSAP 인증 클라우드로 전환이 필수였습니다. 2등급 인증 체계에서는 AWS·Azure도 공공 2등급 사업에 적용 가능해지므로, 기존 글로벌 클라우드 인프라를 그대로 활용한 공공 제안이 가능해집니다. 단, 국가 기밀·외교 데이터 관련 1등급 사업은 여전히 국내 클라우드만 허용됩니다. 보안 컴플라이언스 점검이 필요한 기업에게는 기회이자 부담입니다. 기존 CSAP 인증을 보유한 기업은 새 등급 체계로의 전환 심사가 필요하며, 1년의 유예기간이 있습니다. 전환 심사를 통과하지 못하면 공공기관 납품 자격을 일시 상실할 수 있으므로, IT 담당자는 지금부터 과기정통부와 KISA의 전환 가이드라인을 모니터링하고 준비 일정을 수립해야 합니다.

🔗 주소모아가 추천하는 관련 서비스

클라우드 보안 인증 및 기업 보안 관리에 도움이 되는 서비스들입니다.

• AWS — 2등급 CSAP 인증 추진 중. GovCloud 한국 리전 운영
• 네이버 클라우드 — 1등급 CSAP 인증 보유. 공공기관 최상위 보안 요구 충족
• KISA 인터넷보호나라 — CSAP 인증 절차·기준 공식 가이드. 사이버 침해 신고 창구
• 구글 클라우드 — 2등급 CSAP 추진 예정. Workspace 공공 버전 국내 운영
• 보안/프라이버시 카테고리 전체보기 — 클라우드 보안·인증·컴플라이언스 서비스 모음

---

📚 참고 자료 및 보도 근거

본 기사는 다음 공식 자료·언론 보도를 교차 확인하여 작성되었습니다:

• 구글 공식 블로그(한국) — 관련 공식 자료 및 보도 근거
• 한국인터넷진흥원(KISA) — 관련 공식 자료 및 보도 근거
• 과학기술정보통신부 — 관련 공식 자료 및 보도 근거

편집 방침: 주소모아 뉴스팀은 1차 자료(공식 보도자료·정부 공시·공인 통계)를 교차 확인하고, 추가 해석은 "편집부 판단" 형태로 명시합니다. 자세한 편집 방침을 참고하세요.

❓ 정리 — 핵심 질문 모음

Q1. 일반 기업이 CSAP 인증을 취득해야 하나요? 강제인가요?

CSAP 인증은 공공기관에 클라우드 서비스를 납품하려는 기업에게 사실상 필수인 인증이지만, 민간 기업 간 거래에서는 강제가 아닙니다. 즉, 공공기관(정부·지자체·공기업)을 주요 고객으로 하는 B2B 클라우드·SaaS 기업에게만 실질적으로 필요합니다. 민간 기업만을 대상으로 하는 서비스라면 CSAP 대신 ISO 27001, SOC 2, 개인정보보호법 인증이 더 현실적인 보안 신뢰 지표가 됩니다.

Q2. AWS나 구글 클라우드가 2등급 CSAP를 받으면 국내 클라우드와 가격 경쟁이 될까요?

단기적으로 가격 경쟁보다는 시장 확대 효과가 더 클 것으로 전망됩니다. 현재 공공 클라우드 시장에서 글로벌 기업이 배제된 상황에서도 국내 기업들의 성장이 제한적이었던 이유는 예산 제약과 정부 공공 IT 의사결정 속도 때문입니다. 글로벌 기업 진입으로 오히려 전체 공공 클라우드 시장 규모가 커지고, 국내 기업들도 1등급 및 특화 서비스에서 경쟁력을 유지할 수 있다는 분석이 지배적입니다.

Q3. 개인정보가 포함된 공공 서비스 데이터가 AWS 같은 해외 클라우드에 저장되어도 안전한가요?

2등급 CSAP 기준에서 AWS 등 글로벌 기업은 한국 내 데이터센터(리전)에서 데이터를 저장·처리해야 합니다. AWS 서울 리전(ap-northeast-2)은 이미 운영 중이며, 데이터가 물리적으로 해외로 이전되지 않습니다. 단, 기술 지원·운영 목적의 해외 접속 가능성은 별도 검토가 필요하며, 이것이 1등급 인증에서 글로벌 기업을 배제한 핵심 이유입니다. 민감 의료·금융·안보 데이터는 2등급이 아닌 1등급 클라우드를 사용해야 하며, 이는 국내 기업만 제공 가능합니다.