클라우드산업협회, 해외 기업 공공 진출 완화 두고 토종기업 의견 모아…"형평성 갖춰야"

클라우드법 고시 개정 관련 국내 주요 CSP 기업 논의
상·중·하 등급 동시 진행과 하등급도 실증 진행 요구
회원사 대상 의견 수렴, 취합해 전달 예정

[이데일리 함정선 기자] 정부가 아마존웹서비스(AWS) 등 해외 클라우드 서비스 제공사업자(CSP)의 공공 시장 진출 규제를 완화하려는 움직임에 대해 대해 국내 기업들이 의견을 모았다. 이들은 정부의 이 같은 움직임과 관련, 공론의 장이 필요하다고 강조하는 한편 해외 기업에 유리하게 작용할 수 있는 ‘상·중·하등급’ 순차시행 등에 대한 반대 입장을 밝혔다.

한국클라우드산업협회 5일 국내 대·중소 클라우드 서비스 제공 사업자(CSP) 기업들과 클라우드 보안인증 등급제 고시 개정안에 대한 논의를 진행했다.

한국클라우드산업협회는 국내 주요 CSP 기업과의 회의 결과 △ 클라우드 보안인증 상·중·하등급 동시 시행 △ 클라우드 보안인증 전등급에 대한 시범·실증 진행 △ 클라우드 보인인증 적용범위의 명확화 △ 유관부처와 사업자가 참여하는 공론의 장 마련이 필요하다고 의견을 모았다.

우선 이들은 클라우드 보안인증 상·중·하등급 동시 시행에 대해 상·중·하 등급의 형평성 있는 진행이 필요하다는 입장이다. 상·중등급은 실증을 진행하면서, 하등급을 먼저 시행하는 부분이 역차별이라는 점을 강조하고 하등급에 개인정보뿐만 아니라 신용정보를 포함하는 시스템도 제외가 필요하다는 점을 언급했다.

또한 국내 CSP 기업들은 클라우드 보안인증 전 등급에 대한 실증 필요성을 제기했다. 등급제 추진과 시행이 기술·보안 측면에서 어떤 결과를 초래할지 담보할 수 없는 상황이므로 실증에서 굳이 하등급을 제외할 필요는 없으며 하등급 또한 부처와 공공기관 데이터에 대한 안전성을 담보해야 하기 때문에 실증이 필요하다는 설명이다.

클라우드 보안인증은 사업자격이 아닌 보안 인증이므로 상·중·하 등급의 안정성을 파악하고 시행하는 것이 클라우드 보안인증 등급제 도입 취지에 부합한다는 입장이기도 하다.

이와 함께 클라우드 보안인증 적용 범위의 명확화에 대한 필요성도 제기했다. CSP 기업들은 공공 클라우드 시장의 수요가 불확실한 상황에서 등급제 추진에 따른 상·중·하 등급별 시장 비율에 대한 세부 정보와 등급제 추진 세부계획을 발표해야 한다고 밝혔다.

기존 클라우드 보안인증의 사업적 이슈는 클라우드 보안인증을 받은 클라우드 서비스가 어디까지 적용되지는 알 수 없으며, 등급을 세분화하면면 적용 범위에 대한 모호성이 해소될 수 있을 것으로 예상했으나 등급제 추진에 대한 행정예고가 발표됐음에도 불구하고 적용 범위는 여전히 불확실하다는 의견이 다수다.

특히 이들은 의견수렴기간을 거쳐 고시 공표 후 즉시 시행인데, 행정예고가 됐음에도 사업자가 준비를 할 수 있는 부분은 없는 것이 산업계의 어려움이라고 강조했다.

국내 CSP 기업들은 무엇보다 유관부처와 사업자가 참여하는 공론의 장(위원회 및 공청회 등) 마련이 필요하다고 보고 있다. 1월 하순 클라우드 고시 개정 발령 및 국가정보보안 기본지침 시행 예정이므로 과학기술정보통신부 뿐만 아니라 유관부처인 행정안전부, 국가정보원과 사업자가 참여해 클라우드 보안인증과 국가정보보안기본지침에 대해 논의하는 위원회 또는 협의체 구성을 통해 충분한 의견 수렴이 필요하다는 얘기다.

이에 따라 기업들은 업계, 관계기관 등이 참여하는 간담회를 공개적으로 개최해 부처에서 클라우드 보안인증 등급제에 대한 명확한 방향을 제시하고 클라우드 보안인증 등급제와 관련 사안에 대해 충분히 의견을 수렴하는 공론의 장으로 마련할 것을 요청했다.

한국클라우드산업협회는 클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중으로 기업들의 기술적·정책적으로 세밀한 검토 이후 의견을 제출할 예정이다. 이와 더불어 오는 10일 국내기업(SaaS·PaaS·MSP) 회원사 대상으로 간담회 개최를 통해 실질적 공공시장 참여 확대 측면 등 고시 개정안에 대한 의견을 수렴할 예정이다.

함정선 (mint@edaily.co.kr)