말 많은 공공 클라우드 CSAP 등급제 개편...결국 국감에 선다

공공 클라우드 보안인증인 CSAP 개편 두고 정부·업체 간 의견 갈려

조승래 의원 "등급제 개편은 정부 정책 신뢰성 해칠 우려...국감서 구체적 검토"

더불어민주당 조승래 의원이 28일 국회의원회관에서 '클라우드 산업발전을 위한 조찬간담회'를 개최하고 인사 발언을 하고 있다. [사진=조승래 의원실]

과학기술정보통신부가 추진 중인 '클라우드 보안인증제(CSAP)' 등급제 개편이 국정감사의 주요 화두로 떠오를 전망이다. 정부 정책의 일관성 측면에서 신뢰성을 훼손할 우려가 있고, 국내 클라우드 산업에 미치는 영향을 검토할 필요성이 있다는 지적에서다. 

28일 국회 과학기술정보방송통신위원회 야당 간사인 조승래 의원(더불어민주당)은 서울 여의도 국회의원회관에서 '클라우드 산업발전을 위한 조찬간담회'를 개최하고 KT클라우드, 네이버클라우드, NHN클라우드, 카카오엔터프라이즈 등 국내 주요 클라우드 업체들의 의견을 수렴했다.

조승래 의원은 "국내 클라우드 산업 육성 측면에서 국내 기업이 글로벌 기업과 경쟁할 수 있도록 바람직한 정책 방향을 설정하고, 공공 부문에 어떻게 기여할 것인지 등에 대한 가치 판단이 필요하다"고 이번 간담회를 개최한 이유를 밝혔다.

조 의원은 "현재 과기정통부가 추진 중인 CSAP 등급제 개편은 정부 정책의 일관성 측면에서 신뢰성을 훼손하고, 정부 정책을 믿고 사업을 추진한 기업들에게 매몰 비용이 발생할 우려가 있다"며 "정부가 신규 정책을 추진할 때 국내 산업을 육성하고 필요한 경우 어떻게 보호할 것인지에 대한 구체적인 검토가 필요하다"고 말했다.

다음 달 진행되는 과기정통부 국정감사에서 CSAP 등급제 개편을 주요 의제로 삼을 것임을 예고한 것이다.

CSAP란 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률' 제23조 2항에 따라 국가가 지정한 인증기관(KISA)이 이용자 정보보호 기준의 준수 여부를 평가·인증하는 제도다.

정부·공기업·교육기관 등이 사용하는 공공 클라우드의 경우 CSAP 인증이 없을 경우 공급할 수 없다. 국내 클라우드 기업은 CSAP 인증의 핵심 요건인 물리적(하드웨어) 인프라 분리를 수행함으로써 CSAP 인증을 받았다.

반면 아마존웹서비스(AWS), 마이크로소프트, 구글클라우드 등 해외 클라우드 기업은 물리적 인프라 분리를 하지 않고 논리적(소프트웨어) 인프라 분리만 함으로써 CSAP 인증을 받지 못했다. 때문에 그동안 국내 공공 클라우드 시장에 참가하지 못했다.

AWS를 위시한 해외 업체들은 CSAP가 보안 인증보다 해외 업체의 공공 사업 참여를 막는 무역 장벽의 역할을 한다며 제도의 폐지 또는 수정을 요구해왔다. 이를 의식한 듯 미국 무역대표부(USTR)는 '2022년도 국별무역장벽보고서'를 통해 CSAP를 한국 무역장벽의 대표적인 사례로 지목하기도 했다.

김법연 고려대 정보보호대학원 연구교수는 "지난 8월 과기정통부가 CSAP 인증요건을 완화하겠다고 발표했다. 발표에는 클라우드 시스템을 1~3등급으로 구분하고 등급별로 차등화된 보안인증기준을 적용하겠다는 내용이 담겼다. 기존에는 물리적 분리만 가능했으나 (낮은 등급은) 논리적 분리를 허용하는 방향으로 개편하겠다는 것"이라고 설명했다.

이러한 과기정통부의 발표를 두고 국내 클라우드 업계는 논리적 분리를 허용하는 것은 결국 해외 클라우드 사업자가 공공 클라우드 시장에 진입하도록 허용하겠다는 의미라고 반발했다.

김법연 교수는 "논리적 분리로 인해 공공 클라우드 보안위협이나 리스크가 증가하는 등의 큰 문제는 생기지 않을 것이다. 다만 정책 변화로 인해 국내 클라우드 산업이 위축될 우려가 있고, 공공의 핵심 데이터를 해외 사업자의 관리 영역에 넣는 것은 데이터 주권 문제를 일으킬 우려가 있는 만큼 관련된 검토가 필요하다"고 지적했다.

국내 클라우드 업계 관계자는 "(과기정통부의) CSAP 등급제 개편의 목적과 배경을 정확하게 알 수가 없다. 공공 클라우드 도입의 저해 요소가 보안에 관련된 것은 맞지만, 대부분의 공공기관이 CSAP보다 더 강화된 보안 수준을 요구하고 있다. 이런 상황에서 규제 완화 차원에서 등급제로 개편하는 것은 좋은 방법이 될 수 없다. 오히려 보안 규제를 더 강화하고 구체화해야 클라우드 업체와 공공 기관도 빠르게 클라우드를 도입할 수 있을 것"이라고 말했다.

다른 업계 관계자는 "정부 정책은 일관성이 중요하다. 클라우드 업체가 CSAP 인증을 받는 이유는 공공 시장을 보장해주기 때문이 아니라 불확실성은 있지만 진출 자격이 주어지기 때문이다. 공공 클라우드 시장의 가능성을 보고 선투자한 것이다. 중소기업 입장에선 CSAP 인증을 받는다는 것은 큰 투자 결정이다. 정부가 바뀔 때마다 등급제 개편 등 클라우드 정책이 바뀌면 이러한 투자를 결정한 기업 입장에선 허탈하고 사업 리스크가 될 수밖에 없다"고 토로했다.

국내 클라우드 업계 핵심 관계자는 "이번 CSAP 등급제 개편의 가장 큰 문제는 (과기정통부가) 국내 클라우드 업체와 의사소통 없이 일방적으로 정책을 추진하는 것이다. 열린 공청회 대신 국내 업체들을 따로 불러 놓고 '개편하겠다'고 통보하고 그 외 정보 없이 내부에서 개편안을 만들고 있다. 이렇게 일방적으로 정책을 추진하면 민간 사업자는 불확실성으로 인해 관련 사업을 추진하는 게 불가능하다. 지금이라도 국내 클라우드 업체와 함께하는 공청회를 열고 모두가 만족할 수 있는 최선의 방안을 찾아야 한다"고 지적했다.