다만 시행에 앞서 클라우드 업계가 하 등급 실증을 진행해야 하는 타당한 이유를 제시하면 검토해보겠다는 입장은 추가로 내비쳤다.
13일 과학기술정보통신부가 서울 광화문 한국지능정보사회진흥원(NIA) 서울 사무소에서 '클라우드 보안인증 등급제 도입 관련 간담회'를 개최하고 CSAP 등급제(클라우드컴퓨팅서비스 보안인증에 관한 고시 개정안) 시행을 앞두고 업계 의견을 청취했다.
이날 행사에는 △3개 클라우드 서비스 사업자(네이버클라우드, KT클라우드, NHN클라우드) △2개 클라우드 관리 사업자(메가존클라우드, 베스핀글로벌) △5개 클라우드 소프트웨어 사업자(더존비즈온, 영림원소프트랩, 나무기술, 와탭랩스, 넥스트비즈)가 참석해 CSAP 등급제 개편에 대한 의견을 냈다.
과기정통부는 업체들에게 △등급제 도입 취지 및 추진방향 △고시개정 주요 내용 △실증·시범사업 추진방향 등에 관해 설명했다.
1월 중 과기정통부가 고시 개정안을 발령하고 국가정보원이 국가정보보안기본지침을 시행함으로써 하 등급을 우선 시행하고, 이후 8개월에 걸쳐 디지털플랫폼정부 및 관계부처와 함께 상·중 등급에 대한 공동 실증사업을 추진함으로써 연내 상·중 등급을 시행하는 것을 목표로 한다.
과기정통부에 따르면 공공 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 등을 위해 CSAP 등급제 도입을 더는 미룰 수 없는 상황이다. CSAP를 'CSA STAR', 'FedRAMP' 등 글로벌 보안 인증처럼 등급제로 개편해야 서비스 보안을 강화하면서 업체들의 사업 불확실성을 최소화할 수 있다는 것이다.
이에 상 등급은 기존 평가 기준에서 보완·강화하는 방향으로, 중 등급은 현행 유지하는 방향으로 진행한다. 하 등급은 평가 기준을 합리화하는 방향으로 진행한다.
이러한 개편의 대표적인 사례로 하 등급은 민간·공공 영역 간 '논리적(소프트웨어) 분리'를 허용하는 것을 꼽을 수 있다. 다만 데이터의 물리적 위치는 국내 데이터센터에 한정되며, 이를 확인할 수 있는 기능을 추가해야 한다. 중 등급은 보안성을 담보한 네트워크 접근을 허용하고 실증을 통해 세부 보안 기준을 만들 방침이다.
CSAP 등급제 개편에 대한 정부 의견에 행사에 참석한 국내 주요 클라우드 업체 대부분이 동감을 표한 것으로 알려졌다. 더는 등급제 개편을 반대하지 않고, 정부와 현실적인 타협안을 찾으려는 행보로 풀이된다.
다만 전날 박원기 네이버클라우드 APAC 대표는 정부의 CSAP 개편안에 대해 "세계 흐름과 방향이 다른 것 같다. 유럽·아시아 등 글로벌 클라우드가 중요 주제로 떠오르는 나라에선 클라우드 운영 독립성, 기술 자주성 등을 강조하는 '소버린 클라우드'에 관심을 보이고 있는데, 한국은 왜 안 그럴까 하는 의문이 있다"고 반대되는 의견을 내기도 했다.
상·중 등급 실증은 민간 클라우드에서 서비스의 보안성·가용성을 검증하고 기술적 보안사항을 발굴하기 위해 시행한다. 이를 위해 클라우드 시범사업을 추진하고 민간 클라우드 환경에서 보안 조치, 신기술 적용, 네트워크 접속 등을 통해 보안성 확보 여부와 서비스 기능·성능 등을 측정할 계획이다.
공공 시스템의 상·중·하 등급은 국정원 국가정보보안기본지침에 따라 개별 공공기관이 자체 분류하는 형태로 지정한다.
과기정통부 관계자는 "(클라우드 업계 요구대로) CSAP 상·중·하 등급을 동시에 시행하면 하 등급 시행이 그만큼 늦춰지는 점에서 부담이 생긴다. 이번 회의에서 등급제 시행에 앞서 하 등급도 실증을 해야 한다는 의견이 나왔는데, 적절한지 검토해볼 것"이라고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지