외국계 골리앗 클라우드 기업 '韓 공공시장' 빗장 풀렸다

과기정통부, 가장 낮은 '하' 단계에 '논리적 망분리' 허용
CSAP 등급제 '상중하' 확정…해외 CSP도 '공공 클라우드' 가능

과학기술정보통신부 로고(과학기술정보통신부 제공)

(서울=뉴스1) 오현주 기자 = 정부가 클라우드 보안인증(CSAP) 등급제를 상·중·하 3단계로 도입하기로 했다. CSAP는 클라우드 서비스 제공업자(CSP) 같은 클라우드 기업이 공공 시장에 진출하기 위해 반드시 받아야하는 인증으로, 그간 단일체계였다. 이번 개편을 통해 국내 업체들이 해외 업체에 주도권을 뺏길 것이라며 반대하던 '논리적 망분리'가 '하위 등급'에서 허용된다. 해외 CSP들이 공공 시장에 진출할 수 있는 길이 열린 셈이다.

과학기술정보통신부는 클라우드 보안인증 등급제 도입을 위한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 이날부터 1월 18일까지 행정예고한다고 밝혔다. 등급별로 차등화된 보안 인증 기준을 마련할 수 있도록 클라우드법 하위 고시를 개정하겠다는 것이다.

앞서 과기정통부는 지난 8월 18일 현안점검회의에서 결정된 클라우드 보안인증 등급제 세부실행방안으로서 등급 분류기준와 상세 평가기준 등에 대해 관계부처와 협의‧조율하고 산업계 의견수렴, 디지털플랫폼정부위원회와 논의를 지속했다.

이번 CSAP 등급제는 국가·공공기관 등 시스템을 중요도 기준으로 상·중·하 3등급으로 나누고, 등급별로 다른 클라우드 보안인증 기준을 적용한다는 게 골자다.

'하' 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, '중' 등급은 비공개 업무자료를 포함하는 시스템, '상' 등급은 민감한 정보를 포함하거나 행정 내부업무를 운영하는 시스템에 적용된다.

'하' 등급은 고시 공포 이후 시행된다. '중'과 '상' 등급은 안전성을 고려해 디지털플랫폼정부위원회와 관계부처의 공동 실증 검증을 거쳐 세부 평가기준을 보완해 내년 안에 시행된다.

이 등급별로 적용되는 보안인증 기준이 다르다. 가장 낮은 '하' 등급 시스템에는 기존의 민간‧공공 영역간 '물리적 망 분리' 요건을 완화해 '논리적 망 분리'를 허용한다. 국내 서비스형 소프트웨어(SaaS) 사업자가 공공 시장에 신규 진입할 수 있도록 하기 위해서라고 정부 측은 설명했다. 다만, 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가항목은 추가한다.

'논리적 망분리'는 공공기관용 클라우드 서버와 민간 클라우드 서버가 물리적으로 분리되지 않아도 된다는 것으로, 가상공간에서 망 분리를 해도 된다는 의미이다. 이렇게 되면 AWS나 마이크로소프트(MS) 같은 외국계 CSP도 공공시장에 진입할 수 있게 된다.

또 '중' 등급은 행정 내부업무 운영 시스템도 중요도에 따라 중등급으로 분류할 수 있게 됨에 따라 보안성을 담보한 네트워크 접근을 허용하고 내‧외부망 접근‧활용 등에 대한 실증‧검증을 통해 세부 평가기준을 보완할 계획이다.

이번 개편안에는 불필요한 CSAP 평가 항목 역시 수정됐다. 정부는 기존유형(IaaS·SaaS표준·SaaS간편)에 대해서도 업계 애로사항을 반영하여 상벌규정 등 불필요한 평가항목은 통·폐합 및 삭제했다.

과기정통부는 행정예고 기간 동안 업계·관계기관 등이 참여하는 간담회 등 개최를 통해 각계 의견을 수렴하고, 의견수렴 결과를 최종 고시 개정안에 반영해 1월 중 공포할 예정이다.

과기정통부 관계자는 "디지털플랫폼정부의 성공적인 구현을 위해서는 민간의 클라우드 서비스를 활용한 대국민 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 측면이 함께 고려돼야 한다"면서 "'하' 등급 시스템에 대해서는 글로벌 경쟁 환경조성과 보안성 측면을 고려하고, 상‧중등급 시스템에 대해서는 신규 시장을 창출해 국내 클라우드 산업 전반의 성장을 위해 노력하겠다"고 말했다.

woobi123@news1.kr