[스페셜리포트]CSAP 등급제, 현실적 대안 논의 본격화

권혜미 2023. 1. 4. 17:01
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

공공 데이터 유출 없도록 보안 강화 목소리
AWS·MS 등 진출…국내 기업 보호책 시급
상·중 등급, 민간 클라우드 도입 활성화 필요

정부가 클라우드 보안인증제(CSAP)에 상·중·하 등급제 도입을 추진하면서 후속 대책 논의가 본격화되고 있다.

쟁점은 글로벌 기업 진입이 예상되는 '하' 등급에 대한 인증 수준이다. 국내 클라우드 기업은 데이터 주권 확보를 위해 하 등급에 데이터유출방지에 대한 검증을 꼼꼼히 해야 한다고 주장한다. 상·중 등급을 통해 새로운 클라우드 시장을 만들어달라는 주문도 나온다.

◇등급제 도입 따른 국내 산업 보호책 마련 필요

과학기술정보통신부는 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 18일까지 행정예고하고 1월 중 공포한다. 하 등급 시스템에 대한 클라우드 보안인증은 고시 공포 이후 시행하고, 상·중 등급 시스템은 연내 시행할 예정이다.

민간 클라우드를 이용하고자 하는 국가·공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상·중·하 등급으로 자체 분류한다.

하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 중 등급은 비공개 업무자료를 포함하거나 운영하는 시스템이다. 상 등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류한다.

하 등급은 논리적 망분리를 허용, 미국·중국 등 해외 클라우드 기업에 대한 공공시장 빗장이 풀리게 됐다. 글로벌 스탠다드를 따르면서도 민간과 공공 존을 물리적 분리 없이 운영할 수 있게 됐기 때문이다.

클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고 국가기관용 클라우드컴퓨팅서비스 서버, 네트워크, 보안장비 등 자원은 민간 이용자용 클라우드컴퓨팅서비스 영역과 논리적으로 분리해 운영할 수 있다.

개정안 핵심인 논리적 망 분리 허용에 대한 결정이 뒤집히긴 어려울 것이란 전망이 지배적이다. 국내 클라우드 산업 피해를 최소화할 후속 대책 마련 필요성이 제기된다.

◇보안 요건 강화해 클라우드 시장 키워야

개정안은 하 등급에 대해 논리적 망 분리를 허용하면서 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가 항목은 추가했다.

하 등급을 받고자 하는 클라우드 서비스 제공사(CSP)는 클라우드컴퓨팅서비스를 통해 생성되는 공공 데이터가 국외로 유출되지 않도록 데이터 저장 위치를 선택할 수 있는 기능 및 로그 정보 등을 제공해야 한다.

국내 클라우드 업계는 하 등급에 대한 데이터 유출 방지 검증이 철저히 이뤄져야 한다고 강조했다. 클라우드 상에 공공부문 데이터가 오가는 만큼 인증조건을 세밀하게 적용해 보안요건을 충실히 준수해야 한다는 주장이다.

게티이미지뱅크

데이터 주권뿐만 아니라 국내 클라우드 시장 파이를 키우기 위한 차원에서도 보안 요건 수준을 높여야 한다는 주장도 나왔다. 상·중 등급을 통해 신규 시장을 창출해달라는 주문이다. 상·중 등급에 보안을 강화해 지금까지 민간 클라우드 전환이 어려웠던 시스템이 안심하고 클라우드를 선택할 수 있도록 해야 한다는 것이다.

한 CSP 관계자는 “상·중 등급에 보안 요건을 강화해서라도 지금까지 민간 클라우드로 넘어오지 못하는 공공 시스템이 클라우드로 전환할 수 있도록 해야 한다”며 “기관이 민간 클라우드를 믿고 전환할 수 있도록 정부 독려가 필요하다”고 역설했다.

기관이 바꿀 시스템에 어떤 등급이 적합한지 판단하는 분류기준과 절차가 명확하게 제시돼야 한다는 지적도 제기된다. 상·중·하 등급 분류기준과 절차는 국가정보원과 행정안전부 소관이다. 국정원·행안부가 상·중·하 기준을 정해주면 각 기관은 그에 따라 해당 기관의 시스템 등급을 자체 분류하는 방식이다. 행안부와 국정원은 이달 중 상·중·하 등급 분류기준과 절차를 마련한다.

문석봉 NHN클라우드 이사는 “등급을 나누는 게 개념적으로는 가능하나 현장에서 구체화해 적용하는 데는 혼란스럽고 애매한 부분이 많을 것”이라며 “데이터의 성격이나 내·외부망 구분, 연계시스템 수나 개인정보 보유량 등으로 구분해야하는 상황이 된다면 현장 혼란이 우려된다”고 말했다.

◇1월 중 하 등급 클라우드 보안인증 시행

과기정통부는 행정예고가 끝나기 전인 17일 전후로 업계, 관계기관이 참여하는 간담회를 개최해서 각계 의견을 수렴한다. 결과는 최종 고시 개정안에 반영된다. 클라우드 업계는 의견을 모아 정부에 전달할 방침이다. 이에 앞서 5일 한국클라우드산업협회는 국내 CSP를 모아 의견을 청취한다.

등급제가 시행되면 AWS, 마이크로소프트(MS), 알리바바 등 미국과 중국 클라우드 기업이 공공시장에 진출할 것으로 전망된다.

공정거래위원회에 따르면 국내 클라우드 시장은 AWS가 2019년 77.9%, 2020년 70%, 2021년 62.1%로 압도적인 점유율을 차지하고 있다. MS는 6~12% 그 뒤를 잇는다. 이들 사업자가 가격 경쟁력과 민간 클라우드 시장 영향력을 앞세운다면 수년 내 공공시장 과반을 차지할 것이란 관측도 나온다.

권혜미기자 hyeming@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?