지면보기 구독신청 기사제보

CSAP 下 등급 우선 시행 강조한 정부..."상·중·하 동시 실증은 당위성 떨어져"

기자정보, 기사등록일
강일용 기자
입력 2023-01-13 14:23
    도구모음
  • 글자크기 설정

  • 업계 CSAP 등급제 상·중·하 동시 시행 제안에 난색..."더는 늦추기 어려워"

  • 클라우드 업계 "상·중·하 동시 시행해야" vs SW 업계 "개편안 빠르게 시행하고 보완해야" 이견

[사진=강일용 기자]

정부가 국내 클라우드 업체들이 클라우드 보안인증(CSAP) 등급제 개편을 두고 상·중·하 등급을 동시에 시행하자고 제안한 것을 두고 하 등급 우선 시행 후 상·중 등급 실증에 착수하겠다는 원칙에는 변함이 없다고 강조했다. 

다만 시행에 앞서 클라우드 업계가 하 등급 실증을 진행해야 하는 타당한 이유를 제시하면 검토해보겠다는 입장은 추가로 내비쳤다.

13일 과학기술정보통신부가 서울 광화문 한국지능정보사회진흥원(NIA) 서울 사무소에서 '클라우드 보안인증 등급제 도입 관련 간담회'를 개최하고 CSAP 등급제(클라우드컴퓨팅서비스 보안인증에 관한 고시 개정안) 시행을 앞두고 업계 의견을 청취했다.

이날 행사에는 △3개 클라우드 서비스 사업자(네이버클라우드, KT클라우드, NHN클라우드) △2개 클라우드 관리 사업자(메가존클라우드, 베스핀글로벌) △5개 클라우드 소프트웨어 사업자(더존비즈온, 영림원소프트랩, 나무기술, 와탭랩스, 넥스트비즈)가 참석해 CSAP 등급제 개편에 대한 의견을 냈다.

업계의 의견은 크게 둘로 나뉘었다. 클라우드 업계에선 "등급제 개편은 신중하게 진행해야 하며 (제도에서) 미비한 점을 개선해 상·중·하 등급을 함께 시행해야 한다"고 주장한 반면, 소프트웨어 업계에선 "사업 불확실성 해소와 내년 공공 클라우드 전환 사업 발주를 위해 빠르게 등급제 개편을 시행하고 개선해야 한다"는 입장을 내놨다.

과기정통부는 업체들에게 △등급제 도입 취지 및 추진방향 △고시개정 주요 내용 △실증·시범사업 추진방향 등에 관해 설명했다.

1월 중 과기정통부가 고시 개정안을 발령하고 국가정보원이 국가정보보안기본지침을 시행함으로써 하 등급을 우선 시행하고, 이후 8개월에 걸쳐 디지털플랫폼정부 및 관계부처와 함께 상·중 등급에 대한 공동 실증사업을 추진함으로써 연내 상·중 등급을 시행하는 것을 목표로 한다.

과기정통부에 따르면 공공 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 등을 위해 CSAP 등급제 도입을 더는 미룰 수 없는 상황이다. CSAP를 'CSA STAR', 'FedRAMP' 등 글로벌 보안 인증처럼 등급제로 개편해야 서비스 보안을 강화하면서 업체들의 사업 불확실성을 최소화할 수 있다는 것이다.

이에 상 등급은 기존 평가 기준에서 보완·강화하는 방향으로, 중 등급은 현행 유지하는 방향으로 진행한다. 하 등급은 평가 기준을 합리화하는 방향으로 진행한다.

이러한 개편의 대표적인 사례로 하 등급은 민간·공공 영역 간 '논리적(소프트웨어) 분리'를 허용하는 것을 꼽을 수 있다. 다만 데이터의 물리적 위치는 국내 데이터센터에 한정되며, 이를 확인할 수 있는 기능을 추가해야 한다. 중 등급은 보안성을 담보한 네트워크 접근을 허용하고 실증을 통해 세부 보안 기준을 만들 방침이다.

CSAP 등급제 개편에 대한 정부 의견에 행사에 참석한 국내 주요 클라우드 업체 대부분이 동감을 표한 것으로 알려졌다. 더는 등급제 개편을 반대하지 않고, 정부와 현실적인 타협안을 찾으려는 행보로 풀이된다.

다만 전날 박원기 네이버클라우드 APAC 대표는 정부의 CSAP 개편안에 대해 "세계 흐름과 방향이 다른 것 같다. 유럽·아시아 등 글로벌 클라우드가 중요 주제로 떠오르는 나라에선 클라우드 운영 독립성, 기술 자주성 등을 강조하는 '소버린 클라우드'에 관심을 보이고 있는데, 한국은 왜 안 그럴까 하는 의문이 있다"고 반대되는 의견을 내기도 했다.

상·중 등급 실증은 민간 클라우드에서 서비스의 보안성·가용성을 검증하고 기술적 보안사항을 발굴하기 위해 시행한다. 이를 위해 클라우드 시범사업을 추진하고 민간 클라우드 환경에서 보안 조치, 신기술 적용, 네트워크 접속 등을 통해 보안성 확보 여부와 서비스 기능·성능 등을 측정할 계획이다. 

공공 시스템의 상·중·하 등급은 국정원 국가정보보안기본지침에 따라 개별 공공기관이 자체 분류하는 형태로 지정한다.

과기정통부 관계자는 "(클라우드 업계 요구대로) CSAP 상·중·하 등급을 동시에 시행하면 하 등급 시행이 그만큼 늦춰지는 점에서 부담이 생긴다. 이번 회의에서 등급제 시행에 앞서 하 등급도 실증을 해야 한다는 의견이 나왔는데, 적절한지 검토해볼 것"이라고 말했다.

강일용
기자 정보
강일용

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

컴패션_PC
0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
실시간 인기
오늘의 1분 뉴스
포토뉴스
  • [포토] 눈길 끄는 눈물의 여왕 김수현 벤츠
  • [포토] 제60회 한국보도사진전 개막
  • [포토] 문혜리 사격장 자주포 합동 사격훈련
  • [포토] 산업·5대 시중은행, 9조원 규모 미래에너지펀드 조성
[포토] 눈길 끄는 눈물의 여왕 김수현 벤츠 눈길 끄는 '눈물의 여왕' 김수현 벤츠
[포토] 제60회 한국보도사진전 개막 제60회 한국보도사진전 개막
[포토] 문혜리 사격장 자주포 합동 사격훈련 문혜리 사격장 자주포 합동 사격훈련
[포토] 산업·5대 시중은행, 9조원 규모 미래에너지펀드 조성 산업·5대 시중은행, 9조원 규모 '미래에너지펀드' 조성
아주 글로벌
기사 이미지 확대 보기
닫기