[단독] 기존 CSAP 인증 사업자는 개편안 中 등급...높은 등급은 낮은 등급 '프리패스'

과기정통부, 국내 클라우드 업체 불만 고려해 기존 사업자 지위 명확히

상 등급 받으면 중·하, 중 등급 받으면 하 등급 자동 취득

국내 클라우드 업체들 "CSAP 상·중·하 함께 시행해야" 뜻 모아

[사진=게티이미지뱅크]

정부가 기존에 클라우드 보안인증(CSAP)을 받은 업체들은 CSAP 개편안에서 중(中) 등급으로 인정해주기로 했다. 높은 등급을 받은 경우에는 낮은 등급도 함께 받은 것으로 간주하는 내용도 새로 포함된다.

11일 클라우드 업계에 따르면 공공 사업을 위해 과거 CSAP 인증을 받은 업체를 중심으로 과학기술정보통신부가 추진 중인 CSAP 등급제 개편안에 대한 불만이 나오고 있다.

과기정통부는 지난달 29일 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 행정예고하며 '인증'만 있던 CSAP를 글로벌 보안 기준에 맞춰 '상·중·하' 3등급으로 구분하기로 했다. 상 등급은 평가기준을 더 강화함으로써 강력한 보안이 요구되는 정부 폐쇄망에도 클라우드를 도입할 수 있게 하고, 중 등급은 현행 수준을 유지한다. 하 등급은 '물리적(하드웨어) 망 분리'대신 '논리적(소프트웨어) 망 분리'를 허용하는 형태로 완화한다.

다만 이날 과기정통부 발표에는 기존 CSAP 제도에서 IaaS(인프라 서비스), SaaS(소프트웨어 서비스), DaaS(가상 데스크톱PC) 인증을 받은 기업이 개편안에서 어떤 지위를 얻게 되는지에 대한 내용이 빠져 있어 국내 클라우드 기업들의 의구심을 자아내기도 했다.

실제로 전날 한국클라우드산업협회가 국내 21개 SaaS·MSP(클라우드 관리) 업체들과 진행한 CSAP 등급제 개편 고시 관련 회의에선 이 부분이 주요 의제로 다뤄졌다.

업체들은 "기존에 CSAP 인증을 받은 기업은 어떻게 되는 것이냐" "중 등급으로 인증해 주는 것이냐" "중 등급을 받은 곳은 하 등급을 받지 않아도 되는 것이냐 아니면 또 받아야 되는 것이냐"라고 성토하며 과기정통부가 이에 대해 확실한 입장을 내놓지 않고 있다고 비판했다.

아주경제 취재를 종합하면 과기정통부는 기존 CSAP 인증을 받은 업체는 CSAP 등급제 개편 이후 중 등급 인증을 자동으로 받게 된다. 또 중 등급을 받은 사업자는 하 등급도 함께 받은 것으로 간주해 별도의 추가 인증을 받지 않아도 된다. CSAP 개편에 따른 국내 클라우드 기업의 부담을 줄이려는 행보로 풀이된다.

과기정통부 관계자는 "CSAP 등급제 개편을 통해 공공과 민간 클라우드 서비스를 함께 제공하려는 업체는 중 등급, 민간 클라우드 서비스만 제공하려는 업체는 하 등급을 받게 유도함으로써 (보안인증에 따른) 기업 부담을 최소화할 것"이라고 밝혔다.

CSAP 상·중·하 3등급 구분은 과기정통부 고시 이후 국가정보원의 '시스템 중요도 분류 기준'에 따라 개별 행정 기관이 정하게 될 전망이다. 

과기정통부는 행정예고 기간을 거쳐 연초에 하 등급 인증을 먼저 시행하고, 상·중 등급은 디지털플랫폼정부위원회와 관계부처 검증을 통해 세부 평가기준을 마련해서 연내 시행할 계획이다.

이를 두고 CSP(클라우드 서비스)·SaaS·MSP 등 국내 클라우드 업체들은 "정부가 CSAP 하 등급을 먼저 시행하기보다 세 등급 모두 실증을 하고 상·중·하 등급제를 함께 시행해야 한다"고 반대 의견을 내기로 입을 모았다.  

협회에 따르면 전날 회의에서 국내 SaaS 기업의 90% 이상이 "상·중·하 등급제를 함께 시행해야 형평성에 어긋나지 않는다"고 의견을 냈다. 

KT클라우드·네이버클라우드·NHN클라우드·카카오엔터프라이즈 등 국내 CSP 업체들은 지난 5일 모여 "CSAP 상·중·하 등급제를 형평성 있게 진행해야 한다"며 "상·중 등급만 실증을 진행하고 하 등급을 먼저 시행하는 것은 현행 CSAP 인증을 취득한 사업자에 대한 '역차별'"이라고 성명을 낸 바 있다.

당시 국내 CSP 업체들은 "CSAP는 '공공 사업 자격'이 아닌 '보안 인증'인 만큼 각 등급 안정성을 먼저 파악하고 시행하는 것이 등급제 도입 취지에 맞다. 등급제 추진과 시행이 기술과 보안 측면에서 어떤 결과를 초래할지 담보할 수 없는 상황인 만큼 하 등급을 실증 대상에서 제외할 필요가 없고 오히려 기관 데이터에 대한 안정성을 고려해 실증이 필요하다"고 주장했다.

또 CSP 업체들은 과기정통부가 CSAP 하 등급 클라우드를 이용 가능한 시스템 범위에 개인정보뿐 아니라 신용정보를 포함한 시스템도 제외해야 한다고 지적했다. 반면 SaaS 업체들은 하 등급 클라우드에서 개인정보를 다룰 수 없게 할 경우 SaaS 서비스의 공공 진입 폭이 크게 줄어드는 만큼 개인정보 기준을 구체화할 필요성이 있다고 강조했다.