"클라우드 보안인증 '하등급 먼저 시행'은 역차별"…국내 사업자들, 정부 등급제 추진방식 성토

한국클라우드산업협회, 회원사 CSAP 등급제 고시 개정안 의견 수렴

상중하 모든 등급에 시범·실증, 동시 시행, 유관부처·사업자 참여 공론장 요구

[사진=게티이미지뱅크]

정부가 공공 시장 문턱을 낮춰 외국 클라우드 서비스 사업자(CSP) 진입을 허용하는 '클라우드 보안인증(CSAP) 등급제' 시행을 추진 중인 가운데, 국내 CSP들이 이 계획에 반대 의견을 펴고 있다. 국내 CSP 관계자들은 이달 말 하(下)등급 인증을 우선 시행하고 나머지 중·상(中·上)등급에 대해 시범사업과 실증을 거쳐 시행한다는 정부의 계획이 합리적이지 않다는 입장이다.

5일 한국클라우드산업협회에 따르면, 이날 서울 서초구 협회 사무실에서 진행된 CSAP 등급제 시행 관련 회의에서 참석자들은 CSAP 등급제 도입시 세 가지 등급(상·중·하)의 보안인증을 동시에 시행할 것을 요구했다. 현행 CSAP를 따라 보안인증을 취득하고 공공 시장에 진입한 네이버클라우드·NHN클라우드·카카오엔터프라이즈·KT클라우드 등 국내 CSP 관계자들이 정부의 제도 개정 추진 방식을 반대하고 나선 것으로 해석된다.

과학기술정보통신부는 작년 8월 18일 한덕수 총리 주재 국정현안점검회의에서 CSAP 등급제 추진을 공식화했다. 작년 12월 29일 개정 방안에 대한 윤곽을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시 일부개정안'을 마련했다. 이달 18일까지 행정예고 절차를 밟는다. 행정예고 기간 동안 업계, 관계기관 등이 참여하는 간담회를 개최해 개정안에 대한 의견을 듣고 최종 고시 개정안에 반영해 1월 중 공포, 시행할 계획이다.

과기정통부는 현행 CSAP보다 평가기준을 강화하는 상(上)등급, 현행 평가기준을 유지하는 중(中)등급, 논리적 망 분리 허용 등으로 현행 대비 평가기준을 완화하는 하(下)등급을 신설할 예정이다. 국가정보원은 관계부처와 협의해 각 등급별 민간 클라우드로 쓸 수 있는 공공 정보시스템 상·중·하 등급 분류 기준을 만들기로 했다. 정부는 세 등급 가운데 가장 먼저 하등급 분류 기준과 하등급 CSAP 체계를 만들어 이달 말부터 시행한다.

이에 대해 회의에 참석한 국내 주요 CSP 관계자들은 △CSAP 상·중·하등급 동시 시행 △CSAP 전 등급에 대한 시범·실증 진행 △CSAP 적용범위 명확화 △ 유관부처·사업자가 참여하는 공론장 마련 등이 필요하다는 데 뜻을 모았다. 이들은 또한 등급제 시행으로 공공 시장이 확대될 것이라는 정부의 판단을 뒷받침하는 통계적 근거가 무엇인지, 공공 시장에서 각 등급별 비중이 어떻게 구성되는지 등을 정부에 문의하기로 했다.

이날 협회는 회의 후 배포한 보도자료를 통해 CSAP 상중하 등급 도입을 형평성 있게 진행해야 한다는 업계 입장을 밝혔다. 상·중등급만 실증을 진행하고 하등급을 먼저 시행하는 부분은 현행 CSAP 인증을 취득한 사업자에 '역차별'이라고 강조하고 하등급 클라우드를 이용 가능한 시스템 범위에 개인정보 뿐 아니라 신용정보를 포함한 시스템도 제외해야 한다고 지적했다.

CSAP가 사업 자격이 아닌 '보안 인증'이므로 각 등급 안정성을 파악하고 시행하는 것이 등급제 도입 취지에 맞다고 보고, 세 등급 모두 실증을 진행해야 한다는 지적도 나왔다. 협회에 따르면 참석자들은 "등급제 추진과 시행이 기술과 보안 측면에서 어떤 결과를 초래할지 담보할 수 없는 상황"이라면서 "하등급을 굳이 실증 대상에서 제외할 필요가 없고 오히려 기관 데이터에 대한 안전성을 고려해 실증이 필요하다"고 강조했다.

참석자들은 공공 시장에서 여전히 민간 클라우드 시장 수요가 불확실하다고 인식해 왔다. 등급을 세분화할 경우 이 모호성이 해소되길 기대했지만 최근 행정예고 이후에도 모호함이 여전해 사업자로서 시장 변화에 대비할 여지가 없다는 점을 토로했다. 정부가 등급제를 추진한다면 각 등급으로 나뉘는 시장 비율 관련 세부 정보와 등급제를 추진하기 위한 세부 계획을 발표하고 달라지는 CSAP 적용 범위를 명확하게 해 줘야 한다고 봤다.

협회는 또 참석자들이 위원회나 공청회 등의 형태로 유관부처와 사업자가 참여하고 정부 차원에서 CSAP와 지침에 대해 명확한 방향을 공개적으로 제시하고 논의하는 공론의 장이 마련되길 바라고 있다고 전했다. 1월 하순 클라우드 고시가 개정 발령되고 국가정보보안 기본지침이 시행될 예정인 만큼 과기정통부, 행정안전부, 국정원, 사업자가 참여하는 위원회·협의체가 충분한 의견을 수렴해야 한다는 것이다.

협회 관계자는 "클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중"이라면서 "기업들은 기술적·정책적으로 세밀한 검토 이후 의견을 제출할 예정"이라고 말했다. 협회는 오는 10일 국내 기업(SaaS·PaaS·MSP) 회원사 대상으로 간담회를 열어 실질적인 공공시장 참여 확대 측면 등 고시 개정안에 대한 의견을 추가 수렴할 예정이다.