양정숙 의원, 공공부문 민간클라우드 도입 확대 법안 발의…"국가·지자체도 써야"

공공부문의 민간클라우드 도입을 확대해 산업을 활성화하고, 클라우드서비스 보안인증·취소에 관한 근거를 고시에서 법률로 승격해 정보보안을 강화하는 법안이 발의됐다.

19일 국회 의안정보시스템에 따르면 과학기술정보방송통신위원회 소속인 양정숙 의원은 최근 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(이하 '클라우드발전법') 일부개정법률안을 대표 발의했다. 이 법안은 지난주 발의 후 위원회에 회부돼 오는 21일까지 국민 의견을 수렴하는 입법예고 상태로, 이후 상임위원회에서 법안 내용을 심의 후 표결하는 '위원회 심사'로 넘어갈 예정이다.

법안의 개정 취지에 따르면 현행 클라우드발전법은 공공기관이 업무를 위해 민간 클라우드컴퓨팅서비스를 이용하도록 노력할 것을 규정하고 있지만, 그 대상에 '국가기관'과 '지방자치단체'를 포함하지 않았다. 공공기관뿐아니라 국가·지자체도 민간 클라우드 서비스를 이용하도록 권장해 산업 발전에 기여해야 한다는 지적이 제기된다.

발의된 법안은 국가기관, 지자체, 공공기관 모두 민간의 클라우드서비스 이용을 위해 노력할 것을 규정했다. 법 제20조의①의 대상을 '공공기관'에서 '국가기관 등'으로 개정하고, "국가기관등은 제1항에 따른 클라우드컴퓨팅서비스 이용에 있어서 제23조의2제1항에 따른 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려하여야 한다"는 법 제20조의② 조항을 신설한다.

정부는 과학기술정보통신부 고시로 정보보호 관련 기준을 고시하고, 산하기관인 한국인터넷진흥원(KISA)을 통해 민간기업의 클라우드서비스에 대한 '클라우드보안인증(CSAP)' 제도를 운영하고 있다. 클라우드서비스 제공 기업은 CSAP 인증서를 획득한 서비스를 공공부문에 공급할 수 있다. 하지만 클라우드발전법에는 CSAP 제도에 대한 직접적인 근거는 없다.

발의된 법안은 공공부문에 공급되는 민간클라우드에 요구되는 CSAP와 같은 보안인증과 그 취소에 관한 사항을 법률에서 직접 근거하는 체계를 포함하고 있다. 법 제23조의②에 '보안인증기준'이라는 개념을 명시하고, "제23조의2(클라우드컴퓨팅서비스의 보안인증)"과 "제23조의3(보안인증의 취소)"을 신설했다.

양정숙 의원 측은 "현행법은 과기정통부 장관이 클라우드서비스 제공자에게 정보보호 관련 기준과 주요 보안사항에 대한 인증제도를 고시에서 마련하고 있고, 정부는 공공기관이 민간클라우드 서비스를 이용할 수 있도록 노력할 것을 규정하고 있으나, 공공기관뿐 아니라 국가와 지자체도 민간클라우드를 이용하도록 권장해 산업발전에 기여해야 한다는 지적이 제기된다"라고 지적했다.

이어 "이에 국가기관, 지방자치단체 및 공공기관이 모두 (민간의) 클라우드컴퓨팅서비스를 이용할 수 있도록 노력할 것을 규정하고, 클라우드컴퓨팅서비스 보안인증과 그 취소에 관한 사항을 법률에서 직접 근거하도록 하는 등 체계를 구축함으로써 클라우드컴퓨팅서비스의 이용 활성화 및 정보보안에 관한 사항을 강화하려는 것"이 개정안의 주된 이유라고 설명했다.
 

양정숙 의원. [사진=양정숙 의원실]