공공 클라우드 빗장 풀린다 아마존·MS 진입 가능해져

보안인증 등급제 시행
下등급 보안 문턱 낮춰
외국산 '쏠림' 우려도

정부가 클라우드 보안인증(CSAP)을 등급제로 재편한다. 데이터 민감도가 떨어지는 공공시스템을 중심으로 물리적 망분리 규제를 풀어 민간 클라우드 도입을 가속화한다는 취지다. 아마존웹서비스(AWS), 마이크로소프트(MS) 같은 해외 클라우드 공급 사업자(CSP)들도 공공시장 진입이 일부 가능해질 전망이다.

과학기술정보통신부는 CSAP 등급제 도입을 위한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 29일부터 다음달 18일까지 행정예고한다고 밝혔다. 그동안 데이터 중요도에 관계없이 획일적으로 운영되던 보안인증 체계를 상·중·하로 나눠 유연하게 운영하는 것이 핵심이다. 국가안보나 법 집행(수사)처럼 민감한 데이터에 대한 CSAP는 '상' 등급으로 분류돼 보안 기준을 강화하기로 했다. 반면 개인정보가 포함되지 않고 공개된 공공데이터를 다루는 CSAP는 '하' 등급으로 분류해 보안 문턱을 낮춘다. 비공개 업무자료를 포함하는 '중' 등급 시스템은 현행 보안 수준을 유지한다.

'하' 등급에 대한 CSAP 인증은 고시 공포와 동시에 시행한다. '물리적 분리' 요건을 완화해 '논리적 분리'를 허용하기로 했다. '물리적 분리'가 공공 클라우드 서비스를 위한 서버·네트워크 등을 민간 시스템과 분리하는 형태라면, '논리적 분리'는 가상 서버 등을 통해 소프트웨어적으로 망을 분리하는 것을 가리킨다. 망분리 규제 완화를 통해 외산 클라우드 인프라(IaaS)를 기반으로 소프트웨어(SaaS)를 공급하는 사업자들도 공공시장에 진입할 수 있게 됐다. 국내 업계 반응은 조금씩 엇갈린다. 추가적인 비용을 들여 기존 CSAP가 요구하는 '고객사별 물리적 데이터 저장소 분리'를 충족하기 어려웠던 국내 중소 SaaS 업체들은 환영하는 분위기다. 공공 분야 레퍼런스를 쌓아 해외 진출까지 노려볼 수 있는 기반이 마련됐기 때문이다. 반면 네이버, KT, NHN과 같은 국내 CSP들은 해외 CSP의 시장 잠식이 가속화할까 우려하고 있다. 이들 국내 사업자들은 망분리 규제로 해외 사업자들의 진입이 어려웠던 공공시장에서 활로를 찾기 위해 설비투자를 진행해왔다. CSAP가 규제 사항이면서도 국내 IaaS 산업을 지탱하는 일종의 '마중물' 역할을 해온 셈이다.

[우수민 기자]