[디지털데일리 권하영기자] 정부가 공공 클라우드 시장에 대한 제도 개선을 추진하면서 기대와 우려가 교차하고 있다. 클라우드보안인증(CSAP) 등급제를 둘러싼 논란의 불씨가 남아서다. CSAP 등급제가 공공의 민간 클라우드 도입 활성화로 이어지는 게 최선이지만, 외산 클라우드 진입 영향 및 제도 실효성 문제가 여전히 지적되고 있다.
◆ CSAP 등급제 실효성 있나…클라우드 시장 미칠 영향은?
과학기술정보통신부(이하 과기정통부)가 진행 중인 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정 작업은 공공기관이 민간 클라우드를 도입할 때 보안 요건으로 내세우는 CSAP를 ‘상·중·하’ 등급제로 변경하는 내용을 담고 있다. 이미 ‘하’ 등급은 고시 개정이 완료돼 시행 중이지만 ‘상·중’ 등급은 그렇지 않은 상태다.
과기정통부와 한국인터넷진흥원(KISA), 국가정보원(이하 국정원) 등은 지난해 4월~12월 실증을 진행한 결과를 바탕으로 ‘상·중’ 등급의 세부 등급 기준을 담은 고시 개정안을 도출했다. 개정안은 지난 2월26일까지 행정예고를 거쳐 현재 규제심사 단계로, 이르면 다음달 시행이 예상된다. 비로소 ‘상·중·하’ 등급제가 전면 시행되는 것이다.
하지만 CSAP 등급제가 제대로 자리잡으려면 제도 실효성이 확보돼야 한다. 사업자가 공공 시장에 클라우드 서비스를 납품할 땐 CSAP 외에도 국정원의 보안적합성(CC) 검증과 ‘국가 클라우드컴퓨팅 보안 가이드라인’ 등을 준수해야 하는데, 이 과정에서 각 부처간 ‘원보이스’가 나오지 않아 업계 혼란을 부추긴 게 사실이다.
그동안 과기정통부는 국내 클라우드 산업 진흥 관점에서 CSAP 제도를 개선해왔지만 사이버안보를 최우선으로 엄격한 보안 준수를 요구하는 국정원과는 규제 완화 수준에 있어 마찰을 빚어왔다. 이는 CSAP ‘하’ 등급이 시행된 지 꽤 시간이 흘렀음에도, 해외 CSP들이 아직도 ‘하’ 등급 획득에 어려움을 겪고 있는 이유기도 하다.
공공 클라우드 전환 정책을 추진하는 행정안전부(이하 행안부) 역시 막상 민간 클라우드 활용에는 보수적이란 평가가 적지 않았다. 행안부 산하 국가정보자원관리원은 CSAP ‘상’ 등급에 해당하는 기업들이 사실상 국가 데이터센터를 통해서만 공공에 클라우드를 제공하도록 하는 ‘민관협력모델’을 제안했다가 사업자 빈축을 사기도 했다.
클라우드 업계 관계자는 “사업자들은 꼭 CSAP뿐만 아니더라도 국정원 등에서 이것저것 자료 제출을 요구받는 경우가 많다”며 “또 CSAP 등급제가 전면 시행된다 해도, 정부가 공공의 민간 클라우드 수요를 어느 정도 보장해줘야 기업이 투자를 할 수 있는 건데 예산은 예산대로 불투명한 상황”이라고 말했다.
CSAP 등급제 전면 시행이 시장에 미칠 영향에 대해서도 아직 업계 불안감이 크다. 아마존웹서비스(AWS)와 마이크로소프트(MS) 등 글로벌 빅테크들이 현재 ‘하’ 등급에만 허용된 논리적망분리(하드웨어 분리 없이 소프트웨어적으로 망분리 효과를 내는 것)를 ‘상·중’ 등급에도 확대 적용해달라고 요구하고 있다는 점에서 그렇다.
과기정통부는 CSAP 등급제 기조에 변함은 없다는 입장이지만, 국내 CSP들은 향후 상위 등급에 대한 규제 완화도 얼마든지 추진될 수 있다고 본다. 국내 CSP사 관계자는 “암참(AMCHAM·주한미국상공회의소) 등에서 ‘상·중’ 등급 논리적망분리 허용을 계속 요구하는 것으로 안다”며 “‘하’ 등급은 단지 시작일 수 있다”고 말했다.
CSAP가 기본적으로 보안 인증 제도긴 하지만 이번 등급제 시행의 궁극적 목표는 공공 클라우드 도입 활성화와 이를 통한 국가 정보시스템 품질 제고에 있는 만큼, 업계에선 ‘민간 클라우드 활성화’와 ‘국내 클라우드 산업 육성’ 두 가지 방향성을 명확히 해야 한다는 지적이다.
