05 fedramp 20x 개편의 의미

│윤대균 아주대학교

1. 들어가며

미국 연방 클라우드 보안 인증 프로그램(fedramp)이 2025년 3월 'fedramp 20x'로 명명된 혁신적 이니셔티브를 통해 2단계로 전환하면서 공공 클라우드 보안 거버넌스에 근본적 변화가 일어나고 있다. 2단계에서는 취약점 탐지 및 대응(vdr) 표준을 도입하고, 저위험(low)과 중위험(moderate) 인증 모두에 대한 핵심 보안 지표(ksi)를 확대 적용하며, 서면 증빙에서 자동화된 검증으로 전환을 가속화하고 있다.¹⁾ 수백 페이지의 구식 수작업 프로세스를 자동화된 방식으로 전환하여 취약점 관리를 간소화하고, 연방 기관들이 쉽게 사용할 수 있는 보안 데이터로 위험 기반 인증 결정을 내릴 수 있도록 지원하는 것을 목표로 하고 있다. 

fedramp는 두 개의 의견 요청서(rfc-0014, rfc-0015)를 발표하여 클라우드 보안 및 효율성, 그리고 인증에 들이는 노력과 시간을 줄이기 위한 의견을 수렴하고 있다. 기존 ksi에 대한 변경 사항을 제안하고 fedramp ‘low’와 ‘moderate’ 인증 모두를 위한 새로운 지표를 도입한다는 것이 골자이다. 1단계의 복잡한 서면 증빙을 최소화하면서 다소 엄격한 ‘moderate’ 인증에도 자동화된 검증을 확대하는 것으로 이는 fedramp 인증 편의성 측면에서 획기적인 변화로 볼 수 있다.

2 fedramp rev.5: 20x 전초전

fedramp 20x가 등장하기 직전의 주요 변화로 주목할 것은 fedramp rev.5로의 업데이트와 fedramp 인가법(authorization act)을 들 수 있다. fedramp rev.5는 미국 nist의 보안 통제 프레임워크 sp 800-53 개정판 5를 fedramp 기준에 반영한 업데이트이다. nist는 2020년에 rev.5를 발표하며 프라이버시 보호, 공급망 위험 관리 등 새로운 통제 요구사항을 추가했는데 fedramp도 2023년 5월 이에 맞춰 low/moderate/high 기준을 rev.5로 업데이트하였다.²⁾

rev.5 도입으로 fedramp 요구사항에 개인정보 보호 강화, 소프트웨어 공급망 보안, 시스템 무결성 검증 등의 통제가 추가되었다. 다만 절차적인 측면에서는 큰 변화 없이 여전히 문서를 검증하는 기존 프로세스가 유지되었으며, 주로 통제 항목의 변화가 핵심이다, 이에, fedramp rev.5 이전 인증을 받은 클라우드 서비스들은 2023년~2024년에 걸쳐 새 기준에 따른 통제 항목을 이행하여 새로운 기준을 충족하여야 했다.

한편, 이전에는 2011년 연방정부 관리예산국(omb) 각서(memorandum)에 따라 운영되던 fedramp 프로그램이 2022년 “fedramp 인가법(authorization act)”으로 법제화되어, 연방 클라우드 보안 표준을 위한 프레임워크를 법률로 확립하고, 클라우드 서비스 보안 평가 및 인가 절차에 대한 의회 감독이 가능하게 되었다.³⁾ 이 법안에 의거 합동 승인 위원회(jab: joint authorization board)를 설립하고, 이를 통해 fedramp 보안 지침을 충족하는 csp에 승인서를 발급할 수 있게 되었다. 이 법은 또한 fedramp 인증을 받은 서비스는 다른 기관에서도 추가 검증 없이 활용할 수 있도록 명시함으로써 중복 인증으로 인한 csp의 어려움을 해소하였다. 

3 fedramp 20x - ‘자동화’와 ‘신속성’이 핵심

2025년 미국 gsa와 fedramp 프로그램은 “fedramp 20x”로 명명된 차세대 인증 체계 개편안을 발표했다.⁴⁾ “20x”라는 명칭은 2020년대의 ‘20배’ 더 빠른 신속한 인증 모델을 지향하며, 기존 수개월~수년 소요되던 인증 절차를 단 몇 주로 단축하는 것을 목표로 한다는 선언적인 의미가 있다고 한다. 주요 내용은 다음과 같다.

• 자동화된 인증 프로세스: fedramp 20x의 핵심은 인증 과정의 80% 이상을 자동화하여 불필요한 수작업 문서를 대폭 줄이는 것이다. 이를 위해 오픈 보안 평가 언어(oscal: open security controls assessment language)와 같은 기계가 읽을 수 있는 형식의 보안 문서 제출이 의무화되고, 표준화된 자동 검증 도구와 api 플랫폼이 제공된다. 예를 들어 과거에는 수백 페이지에 달하는 통제 항목 구현 설명서를 사람이 검토했다면, 이제는 oscal로 작성된 통제 항목을 자동 검사하여 신속히 피드백하는 식이다.

• jab/pmo 개입 축소 및 기관과 csp 직접 소통: 이전까지 fedramp는 합동승인위원회(jab) 의 우선심사나 연방기관 후원이 필요했지만, fedramp 20x에서는 low/moderate 수준의 단순 서비스의 경우 담당 연방기관 후원 없이도 csp가 자체적으로 인증을 신청할 수 있게 되었다. 즉, 일부 저위험 서비스는 연방기관 후원 없이도 인증 가능하며, fedramp 사무국(pmo)의 수동 검토 개입은 최소화된다. 대신 csp와 사용 기관이 직접 소통하면서, 자동화된 확인서(attestation) 데이터를 바탕으로 수요 기관이 위험에 대한 평가 및 승인을 직접 할 수 있도록 한다. fedramp는 보안 기준과 도구를 제공하며 전체 거버넌스는 fedramp board가 총괄하지만, 실무적 인증 과정은 더욱 분권화되는 방향이다.

• 인증 기간 단축: ‘몇 달’ 걸리던 기간을 ‘몇 주’로 인증에 드는 기간을 혁신적으로 줄이는 것이 목표이다. fedramp 20x에서는 간소화된 보안 요구사항(엔지니어 친화적 통제)과 턴키(turn-key) 방식 평가 절차로, 대부분의 클라우드 서비스가 수 주 내 승인될 수 있다고 천명했다. 실제로 간단한 클라우드 서비스는 몇 주 내 승인을 목표로 하며, 중복 서류 제출 제거, 자동 검증 등이 이를 뒷받침한다. 이러한 변화는 인증 비용을 절감하고 연방정부 기관에서 혁신 서비스 도입에 들이는 시간을 크게 단축할 것으로 기대된다.

• 기타 개선 사항: 보안 요구사항의 유연화(현대적 클라우드 보안모델 반영), 퍼블릭 워킹그룹을 통한 산업 의견수렴, 승인 후 지속적인 모니터링 고도화 등이 포함된다. 특히 모니터링 부분에서는 기존에 1년에 한 번 형식적으로 하던 것을 상시 실시간 모니터링 체계로 전환하고, 대시보드를 통해 위험을 실시간 공유함으로써 지속적 인가(continuous authorization) 개념 구현을 가능케 한다. 또한 기존 보안인증 재활용을 장려하여, csp가 갖춘 iso 27001, soc2 등의 인증을 fedramp 통제 대응에 활용하도록 함으로써 중복 평가를 줄이는 전략도 반영되었다.

fedramp 20x는 단계적으로 도입하게 된다. 1단계에서는 저위험의 단일 saas 등 단순 구조 서비스를 대상으로 우선 적용하고, 이후 복잡한 플랫폼이나 high 등급 서비스로 확대해 나간다. 2025년 현재 1단계 파일럿이 진행 중이며, gsa는 이미 일부 csp들과 함께 자동화 검증 시범을 시행하며 성공 사례를 만들어가고 있다. 2단계 준비를 위해 2025년 하반기에 rfc도 진행되고 있으며, 이를 위해 취약점 탐지(vdr) 자동화 표준 등의 제안이 공개되어 있다. 앞으로 실질적인 제도 시행과 함께 추가 세부 가이드가 확정될 예정이다.

4. ai 서비스에 대한 인증 우선순위 정책

최근 연방정부 차원에서 생성형 ai 등 신기술을 신속히 도입하려는 움직임에 따라, fedramp도 ai 관련 클라우드 서비스의 인증을 우선적으로 가속하는 정책을 내놓았다.⁵⁾ 2025년 8월 gsa/fedramp는 일선 공무원이 반복적으로 사용하는 대화형 ai 엔진을 제공하는 클라우드 서비스에 fedramp 20x 인증 우선 적용을 발표했다.⁶⁾

• 배경: 연방 cio 위원회는 2025년 8월 fedramp 이사회에 서한을 보내 “정부 업무용 ai 서비스의 fedramp 인증을 신속히 우선 처리하라”고 요청했고, 이에 fedramp 프로그램이 화답한 것이다. 이는 미 정부 차원의 “ai 활용 촉진 정책(미국 ai 액션 플랜)”의 일환으로, 신뢰할 수 있는 ai 도구를 빠르게 도입하여 정부 업무 효율을 높이기 위한 것이다.

• 우선 인증 대상: 연방직원이 일상적으로 사용할 수 있는 대화형 ai 서비스로, gsa 조달 목록에 등재되어 있고 정부 수요가 있으며, fedramp 20x 파일럿 요구사항을 충족할 수 있는 엔터프라이즈급 ai 클라우드 서비스들이다. 예를 들어, 대화형 비서, 챗봇, 업무 자동화 ai saas 등이 해당한다.

• 절차: fedramp는 ai 서비스에 대한 별도 우선심사 트랙을 제공하며, 관련 기준과 절차를 fedramp 공식 사이트에 공개했다. 선정된 ai 서비스는 2개월 내 20x 인증 기준 충족을 목표로 fedramp 팀의 추가 지원과 신속한 jab의 검토를 받게 된다. 자동화된 보안 검증 절차를 통해 일반 클라우드보다 훨씬 단축된 평가 기간(몇 주)을 적용하고, 보안 수준이 검증되면 우선적으로 fedramp 마켓플레이스에 올려 각 기관이 즉시 활용할 수 있도록 한다.

이러한 우선 인증 정책으로 2025 회계연도에만 이미 124개의 신규 클라우드 서비스가 fedramp 승인을 획득하는 등 가시적 성과가 나타나고 있다. fedramp 측은 최신 기술에 대한 접근을 보장하는 것이 정부기관 임무 달성에 중요하며, ai와 같은 혁신 기술도 fedramp 표준으로 철저히 보안을 검증하여 신뢰성 있게 도입하도록 하는 것이 자신의 역할임을 분명히 했다. 궁극적으로 fedramp의 이러한 행보는 정부의 안전한 ai 활용을 가속화하고, 클라우드 신기술의 공공부문 진입장벽을 낮추는 획기적인 계기가 될 것이다.

5. 맺으며

ai를 공공 업무에 본격적으로 적용하기 위해서는 상용 클라우드 서비스 활용이 더욱 확대되어야 한다. 앞서 살펴본 fedramp 20x는 바로 이러한 목표를 달성하기 위한 대표적인 혁신 사례이다. 특히 ai 서비스에 최우선 순위를 두고 모든 인증 절차에 속도를 낼 수 있도록 한 것은 연방정부와 산하 기관에 ai 서비스를 적극적으로 도입해야 한다는 강한 메시지를 담고 있다. 최근, 미국 연방 기관에는 오픈ai, 앤쓰로픽, 구글 등, 상용 ai 서비스가 속속 개방되고 있다. 심지어 오픈ai와 앤쓰로픽은 1달러, 구글은 0.47 달러에 ai 서비스를 제공하는 등의 상상하기 어려운 공격적인 행보를 보인다. 이러한 움직임의 뒤에는 fedramp 20x와 같은 인증 절차의 혁신이 있다는 것을 다시금 새겨봐야 할 것이다.

참고문헌

1) meritalk, “fedramp gearing up for phase 2, public false wanted”, sep 12, 
2025https://www.meritalk.com/articles/fedramp-gearing-up-for-phase-2-public-false-wanted/

2) schellman, “fedram revision 5 explained", nov 1, 
2023https://www.schellman.com/blog/federal-compliance/fedramp-revision-5-explained

3) https://www.congress.gov/bill/117th-congress/house-bill/21

4) https://www.gsa.gov/about-us/newsroom/news-releases/gsa-announces-fedramp-20x-03242025

5) https://www.fedramp.gov/ai

6) https://www.gsa.gov/about-us/newsroom/news-releases/gsa-fedramp-prioritize-20x-authorizations-for-ai-08252025