"공공 클라우드도 외국에 내주나" 정부 CSAP 등급제 재차 강행

국가·공공기관 상·중·하 분류 후 '하'등급에 규제 완화'하' 등급 국가·공공 IT시스템에 물리적 망분리 원칙 예외인정"공공시스템 연동·안정운영 필요, 결국 상·중 등급도 외국계 개방하려는 것"

내년 공공 클라우드 시장마저 외국계 CSP(클라우드 서비스 업체) 기업들에 장악될 것이라는 우려가 다시 불거지고 있다.

정부가 CSAP(클라우드 서비스 보안인증) 개편으로 외국계 기업들이 민간시장을 넘어 공공 시장에까지 들어올 수 있도록 문호를 열려는 작업을 다시 추진하면서다.

과학기술정보통신부는 29일 '클라우드 컴퓨팅 서비스 보안 인증에 관한 고시' 개정안을 이날부터 내년 1월18일까지 약 3주간 행정예고한다고 밝혔다.

현재는 국가·공공기관에 서비스를 공급하는 클라우드 사업자는 단일 기준에 따라 CSAP 인증을 받아야 한다. 그러나 향후에는 국가·공공기관의 중요도에 따라 상·중·하로 나눈 후 이 중 '하'등급으로 분류된 국가·공공기관에 납품되는 클라우드 서비스에 대해서는 완화된 보안기준을 적용하겠다는 게 이번 고시 개정안의 골자다.

특히 '하' 등급 클라우드에는 현행 물리적 망분리가 아닌, 논리적 망분리가 허용된다. 2011년 농협 전산망 해킹으로 사흘간 서비스가 전면 중단됐던 사건 이후로 공공 IT 시스템에는 물리적 망분리, 즉 하드웨어 자체의 별도 분리를 통한 보안원칙이 기본이었다. 이를 '하' 등급으로 분류된 국가·공공기관에 납품되는 클라우드에는 앞으로 논리적 망분리, 즉 망분리 효과를 내는 SW(소프트웨어)를 적용하더라도 CSAP 인증을 획득한 것으로 인정하겠다는 것이다.

이게 문제가 되는 이유는 물리적 망분리 원칙이 그간 국가·공공기관 클라우드 시장에 외국계 기업들이 진입하지 못하게 막는 최소한의 장벽이었다는 점에 있다.

이미 민간시장은 AWS(아마존웹서비스) 마이크로소프트 애저, 구글클라우드플랫폼 등 외국계 기업이 시장을 거의 장악하다시피 한 상태다. 이들 외국계 기업들은 자국이 아닌 해외에서 사업을 할 때는 물리적 망분리 조치를 취하지 않고 논리적 망분리만 활용한다. 이 때문에 이미 CSAP 기준에 따라 국가·공공기관 서비스에 물리적 망분리 조치를 마친 네이버클라우드, KT클라우드, NHN클라우드 등 국내 CSP들만이 국가·공공기관 시장에 진입할 수 있었다.

정부는 '하' 등급 국가·공공기관에만 완화된 기준을 적용하고 '상'으로 분류된 곳에는 현행 대비 강화된 조치를, '중' 등급에는 현행 수준의 조치를 취하도록 하겠다고 한다. 다만 상·중 등급에 대한 세부 규정은 추후 마련될 예정이다.

정부는 당초 이같은 고시 개편을 10월 중 추진하려다 국내 CSP 등 클라우드 사업자들의 반발에 밀려 고시 개정을 잠정 중단한 바 있다. 그러다 이번에 다시 연말연시 시점에 행정예고를 단행한 것이다.

국내 한 업계 관계자는 "국가·공공기관의 IT 시스템은 상호 연동돼 안정적으로 운영돼야 하기 때문에 상·중 등급은 이 시스템을, 하 등급은 저 시스템을 쓰는 것은 안정성 면에서 문제가 생길 수 있다"며 "하 등급에 외국계 클라우드 진입을 허용하면 곧 상·중 등급 기관에 대해서도 외국계 진입이 허용될 수밖에 없다"고 했다.

또 다른 업계 관계자는 "하 등급에 대해서만 규제를 완화하겠다는 것은 일단 외국계 진입을 허용해주기 위한 빌미에 불과하다"며 "기존에 정부 지침에 따라 물리적 망분리 조치를 이미 취했던 국내 CSP 기업들만 손해를 보는 것"이라고 지적했다.

반면 이번 개정에 우호적인 의견도 있다. 한 보안업계 관계자는 "농협 사태 이후 기술적 발전이 많이 이뤄져 논리적 망분리로도 물리적 망분리 효과를 내는 수준이 돼 있다"며 "이미 공공 분야에서 다수 사업을 진행해 온 경험이 있는 국내 CSP 기업들이 외국계 기업에 무조건 밀린다고만 보기도 어려워 외국계로의 문호개방에 대한 우려도 과도한 면이 있다"고 했다.

황국상 기자 gshwang@mt.co.kr