"클라우드 발전 저해 우려"…인기협, 양정숙 의원 법안에 신중론

클라우드법 개정 입법예고 중 검토의견서

기업 CSAP 심사 기간·수용 부담 문제제기

"보안성 이미 갖췄는데 규정 엄격해질 것"

"지금도 보안인증 활용 못 하는 기업 많아"

"보안인증 불필요한 공공 영역 확장해야"

[사진=게티이미지뱅크]

공공기관뿐 아니라 국가·지자체까지 민간 클라우드서비스 이용을 유도한다는 취지로 최근 발의된 법안에 민간 인터넷·게임 사업자들이 반대 의사를 내비쳤다. 클라우드 이용 환경의 정보보안을 강화하기 위해 법안에 신설된 '클라우드보안인증(CSAP)' 관련 조항이 민간 클라우드서비스 사업자들에게 새로운 규제로 작용해 오히려 산업 활성화를 가로막을 수 있다는 이유에서다.

24일 업계에 따르면 한국인터넷기업협회는 지난 9일 양정숙 의원이 대표 발의한 '클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 일부개정법률안' 내용에 대한 검토의견서를 지난 21일 국회 과학기술정보방송통신위원회에 제출했다. 네이버·카카오 등 양대 포털사, 대형 게임사, 쿠팡·이베이·11번가 등 이커머스 업체와 넷플릭스·페이스북 등 해외 사업자들이 이 협회 회원사로 참여 중이다.

이 법안은 제20조의② '국가기관 등은 …(중략)… 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려해야 한다'는 조항과 '제23조의2(클라우드컴퓨팅서비스의 보안인증)', '제23조의3(보안인증의 취소)' 등을 신설한다. 공공부문의 민간 클라우드 도입 확대로 산업을 활성화하고, 클라우드서비스의 보안성을 담보하는 CSAP 제도 운영 근거를 고시에서 법률로 승격하겠다는 의도다.

한국인터넷기업협회는 이 법안에 우려 섞인 반응을 보였다. 법안 검토의견서를 통해 "클라우드컴퓨팅 산업 발전에 기여하는 것을 목적으로 한다는 개정 취지에는 공감하나 '이용 활성화'라는 입법 목적을 달성하기 위해서는 본 개정안이 새로운 규제로 작용하지 않도록 신중한 검토가 필요하다"고 밝혔다.

우선 협회 측은 기업이 한국인터넷진흥원에 CSAP 인증심사를 요청 시 공식 심사기간(17~25일)보다 훨씬 긴 5~6개월의 시간이 걸리고, 이를 준비할 시간도 더 필요하다고 지적했다. 또 인증심사 기간에 서비스 기능 고도화, 업데이트 등 변경이 불가능하고 인증 이후 주요 형상 변경 시 추가심사를 받아야 하는 등 CSAP 제도가 클라우드 특성보다 보안성에 중점을 둔 제도라고 주장했다.

또 정부와 공공기관이 민간클라우드를 간편하게 도입할 수 있는 '디지털서비스 전문계약제도' 운영 간 CSAP 취득 의무가 오히려 확대될 수 있다고 지적했다. 전문계약제도는 '클라우드서비스', '클라우드 지원서비스', '클라우드 융합서비스' 유형을 구분하고, '학교 교육용'을 제외한 클라우드서비스에만 CSAP를 요구하는데, 법안은 모든 유형에 CSAP를 요구하도록 해석될 수 있다는 것이다.

이에 더해 협회 측은 CSAP 근거를 법률에 담으면 오히려 산업 활성화라는 입법 취지를 달성할 수 없을 것이라며 관련 조항의 신설을 반대했다. 의견서를 통해 "사업자는 이미 고시에 따라 …(중략)… 높은 보안성을 유지하고 있음에도, 본 개정안에서 이를 상향입법해 현행보다 엄격한 규정이 적용될 것으로 예상되는 바, 국내 클라우드산업 생태계 발전을 저해할 우려가 있다"라고 밝혔다.

이어 "(CSAP 제도로 민간기업의) 클라우드서비스가 이미 보안성을 검증받음에도 국가기관 등은 G-Cloud(국가정보자원관리원), On-Premise(공공기관·지방자치단체의 자체 구축형 전산시스템)를 우선적으로 검토하고 있어, 현재 대다수의 사업자가 보안인증을 실질적으로 활용하지 못하고 있는 상황"이라면서 "보안인증 규정 강화는 클라우드산업 활성화를 저해할 수 있다"라고 덧붙였다.

협회 측은 "개정 목적을 달성하기 위해서는 국가기관 등이 의무적으로 클라우드컴퓨팅서비스를 이용하도록 하고, 관련 예산이 반영됐음에도 클라우드서비스를 이용하지 않을 경우 그 사유를 소명하게 하는 등의 절차를 마련하는 것이 국가기관 등의 서비스 이용촉진 측면에서 실효성이 있을 것"이라고 제안했다.

또 "현재의 인증제도만으로도 사업자의 부담이 큰 상황에서, 이보다 강화된 기준을 제시할 경우 관련 중소기업 및 스타트업의 성장과 신규기업의 시장진출 기회는 줄어들게 될 것"이라며 "보안인증이 필요하지 않은 업무영역을 확장하여 민간 클라우드의 활용범위를 넓히고 실효성을 제고하는 방향으로의 입법·정책적 고려가 필요하다"라고 주장했다.