클라우드 공공시장 열린다…내년 클라우드보안등급제 시행

기사내용 요약
과기정통부, 다음달 18일까지 고시개정안 행정예고
상·중·하 3등급별 다른 보안인증
하등급 '논리적 분리' 허용…SaaS 공공시장 진입 기회 열려
데이터 물리적 위치 국내 한정하는 요건 검증 항목 추가

[서울=뉴시스]심지혜 기자 = 정부가 공공 클라우드 시장 문턱을 대폭 낮춘다. 정부 공공기관 시스템 및 데이터 중요도에 따라 3등급(가·나·다)으로 나눠 하위 등급의 보안 규제를 풀어주는 클라우드 보안인증(CASP) 등급제를 내년부터 시행하기로 확정했다. 이를 통해 정부는 공공 영역을 민간 클라우드 관련 업계에 개방, 산업 활성화를 노리겠다는 구상이다.

국내 업계에선 "클라우드 보안 인증 완화가 외산 클라우드 기업들에게 시장을 내주는 꼴"이라고 반대해왔다. 정치권에선 데이터 주권 훼손 우려를 내놨다. 정부는 클라우드 서버위치를 국내로 제한하는 등 데이터 주권 훼손 우려에 따른 보완장치를 갖추기로 했다.

과학기술정보통신부는 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 다음달 18일까지 행정예고한다고 29일 밝혔다. 고시 개정안은 지난 8월 18일 현안점검회의에서 결정한 클라우드 보안인증 등급제 세부 실행방안이다.

정부가 확정한 클라우드 보안인증 등급제의 핵심은 공공 시스템 중요도와 분류기준에 따라 상·중·하 3등급으로 구분하고 등급별로 차등화된 보안인증 기준을 적용하는 것이다.

구체적으로 상등급은 민감 정보를 포함하거나 행정 내부업무 운영 시스템, 중등급은 비공개 업무자료를 포함한 운영시스템, 하등급은 개인정보가 없고 공개된 공동 데이터 운영 시스템으로 나눴다. 이와 관련, 평가기준을 상등급은 평가기준을 보완·강화하고, 중등급은 현행수준을 유지하는 한편, 하등급 평가기준은 대폭 완화했다.

특히 하등급 시스템에 대해서는 국내 서비스형SW(SaaS) 사업자가 공공 시장에 신규 진입할 수 있도록 기존 ‘물리적 분리’ 요건을 완화해 ‘논리적 분리’도 허용키로 했다.

그동안 '물리적 분리 요건' 탓에 클라우드 사업자들은 공공기관 전용 서버를 국내에 설치하고, 공공용 서버를 민간용 서버와 분리해야만 했다. 이는 글로벌 사업자의 국내 공공시장 진출에 대한 장벽 역할을 해왔다. 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 등 해외 사업자들이 우리 정부에 지속적으로 요구해왔던 대목이다.

다만, 정부는 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가항목을 추가하도록 했다. 외산 클라우드 기업에 의한 데이터 주권 훼손 문제를 방지하기 위해서다.

중등급 시스템의 경우 행정 내부 업무 운영 시스템도 중요도에 따라 중등급으로 분류할 수 있게 됨에 따라 보안성을 담보한 네트워크 접근을 허용하고 내·외부망 접근·활용 등에 대한 실증·검증을 통해 세부 평가기준을 보완할 계획이다.

뿐만 아니라, 기존 유형(IaaS, SaaS표준, SaaS간편)에 대해서도 업계 애로사항을 반영해 상벌규정 등 불필요한 평가항목은 통폐합하거나 삭제했다. 클라우드 멀티테넌트 특성(다중이용자 사용)을 고려해 이용기관별 테이블 분리 기준도 완화했다.

시행 시기는 등급별로 다르다. 하등급 시스템에 대한 클라우드 보안인증은 고시 공포 이후 시행하고, 상·중 급 시스템은 안전성, 활용성 등을 고려해 디지털플랫폼정부위원회와 관계부처 공동 실증·검증을 통해 세부 평가기준을 보완한 다음 내년 중 시행할 예정이다.

과기정통부는 행정예고 기간 동안 업계, 관계기관 등이 참여하는 간담회 등 개최를 통해 각계 의견을 수렴하고, 의견수렴 결과를 최종 고시 개정안에 반영해 내년 1월 중 공포할 예정이다.

과기정통부 관계자는 “디지털플랫폼정부의 성공적인 구현을 위해서는 민간의 클라우드 서비스를 활용한 대국민 서비스 혁신과 국내 클라우드 산업 경쟁력 강화 측면이 함께 고려돼야 한다"며 "하등급 시스템에 대해서는 글로벌 경쟁 환경조성과 보안성 측면을 고려하고, 상·중등급 시스템에 대해서는 신규 시장을 창출해 국내 클라우드 산업 전반의 성장을 위해 노력하겠다”설명했다.

☞공감언론 뉴시스 siming@newsis.com