[2022 국감] 정부 클라우드 보안인증제 개편에 "글로벌 추세 역행" 비판

[사진=게티이미지뱅크]

정부가 추진하는 클라우드 보안인증(CSAP) 제도 개편 방향이 디지털 주권 확보라는 글로벌 흐름에 역행한다는 비판이 제기됐다.

11일 국회 과학기술정보방송통신위원회 소속 박완주 의원(무소속)은 "CSAP 개편 핵심 쟁점은 별도 서버를 구축해야 하는 '물리적 망 분리' 완화 여부"라고 짚고 미국·중국·유럽연합(EU) 규제 동향을 예로 들면서 망 분리 완화는 이런 세계 추세에 역행한다고 주장했다.

박 의원은 "미국은 2020년 자국 클라우드 기업이 수사기관 요청에 따라 해외 서버에 저장된 데이터까지 제출해야 한다는 클라우드법을 제정했다"며 "유럽연합(EU)은 2018년 데이터 국외 이전 규제(GDPR) 방안을 발표했고 중국은 2017년 네트워크 보안법을 통해 국내 생성 데이터를 국내에 두도록 강제하고 있다"고 지적했다.

CSAP는 민간 클라우드 서비스 공급업체가 공공 조달 시장에 진입하기 위해 취득해야 하는 자격 인증 제도로 과학기술정보통신부가 관련 정책을 맡고 있다. 과기정통부는 단일 인증 체계인 CSAP 자격을 인증 대상의 보안 수준에 따라 세 등급(상중하)으로 나누고 하등급 인증 항목에 물리적 망 분리 요건을 빼는 방안을 검토 중인 것으로 드러났다.

박 의원은 이제까지 물리적으로 분리된 망을 통해 접속하는 클라우드 서비스를 구축해 CSAP를 획득하고 공공 클라우드 시장에 진입한 사업자는 모두 국내 기업인데, 이제 와서 물리적 망 분리 요건을 완화한다면 "기존 국내 클라우드 사업자에 대한 역차별 소지가 있다"고 했다. CSAP 개편은 범 부처와 전 산업계 입장을 고려해 신중하게 결정돼야 한다고 덧붙였다.

과기정통부는 CSAP 완화 필요성을 설명하면서 클라우드 기반 서비스형 소프트웨어(SaaS) 사업을 추진하고 있는 일부 기업 사례를 들고 있다. 이는 오히려 국내 소프트웨어 기업이 점유율이 높은 클라우드 시장에 통합해 사업을 전개하고 싶어 하기 때문이고 그만큼 국내 클라우드 시장에서 해외 기업 영향력이 막강하다는 방증이라고 박 의원은 말했다.

CSAP 개편은 지난주와 이날 과방위 국정감사 현장에서도 지적을 받았다. 윤영찬 의원(더불어민주당)은 하등급 인증을 받은 클라우드에 저장된 데이터가 해외로 유출될 수 있다고 우려하고 제도 개편 시한을 못박을 게 아니라 공청회 등 의견수렴과 부처간 협의를 진행하라고 정부에 주문했다. 같은 당 박찬대 의원은 민감정보 통제를 해외 업체에 맡기는 것이 데이터 주권을 지키는 적극적인 자세는 아니라고 지적했다.