"CSAP 등급별 시행·실증 차별 없어야"

과학기술정보통신부의 CSAP(클라우드 보안인증) 등급제 행정예고에 따라 외산 CSP(클라우드서비스제공사)들의 공공 시장 진출이 가시화된 가운데, 국내 CSP들이 이를 두고 한 목소리로 반대하고 나섰다. 충분한 의견수렴이 이뤄지지 않았고 국내 기업이 역차별을 받을 수 있다는 주장이다.

한국클라우드산업협회는 5일 국내 대·중소 CSP들과 CSAP 등급제 고시 개정안에 대해 논의했다. CSP 간담회에 이어 국내 MSP(관리형서비스제공자)·SaaS(서비스형 소프트웨어)·PaaS(서비스형 플랫폼) 회원사와는 10일 간담회를 가질 예정이다.

이번 회의에서 국내 CSP들은 △CSAP 상·중·하 등급 동시 시행 △CSAP 모든 등급에 대한 시범·실증 진행 △CSAP 적용범위 명확화 △유관부처와 사업자가 참여하는 공론의 장 마련을 주장했다.

먼저, CSAP 상·중·하 등급 동시 시행에 대해 상·중·하 등급의 형평성 있는 진행이 필요하다는 입장이다. 상·중 등급은 실증을 하면서 하 등급을 먼저 시행하는 부분이 역차별이라는 주장이다. 또 하 등급에 개인정보뿐 아니라 신용정보를 포함하는 시스템도 제외가 필요하다고 지적했다.

CSAP 모든 등급에 대한 실증 필요성도 제기했다. 등급제 추진·시행이 기술·보안 측면에서 어떤 결과를 가져올지 알 수 없는 상황인 만큼 실증에서 하 등급을 제외할 이유가 없고, 하 등급 또한 정부부처·공공기관 데이터에 대한 안전성이 담보돼야 하므로 실증이 필요하다는 주장이다. CSAP는 사업자격이 아닌 보안인증인 만큼 상·중·하 등급의 안정성을 파악하고 시행하는 게 도입 취지에 부합한다는 의견이다.

또 CSAP 적용 범위의 명확화도 필요하다는 입장이다. 공공 클라우드 수요가 불확실한 상황인 만큼 등급제 추진에 따른 상·중·하 등급별 시장 비율에 대한 세부 정보와 등급제 추진 세부계획을 명시해야 한다는 주장이다. CSP들은 등급제 추진에 대한 행정예고가 발표됐고 고시 공표 후 즉시 시행될 예정임에도 적용범위가 여전히 불확실하다는 문제를 제기해 왔다.

유관부처와 사업자가 참여하는 위원회 및 공청회 등 공론의 장 마련을 요청했다. 이달 하순 클라우드 고시 개정 발령 및 국가정보보안 기본지침 시행이 예정돼 있다. 이에 과기정통부뿐 아니라 행정안전부, 국가정보원과 사업자가 참여해 CSAP와 국가정보보안기본지침에 대해 논의하는 위원회나 협의체를 구성하자는 의견이다. 업계와 관계기관 등이 참여하는 간담회를 공개적으로 개최하는 등 충분한 의견수렴과 명확한 방향제시가 이뤄져야 한다는 것이다. 한국클라우드산업협회는 CSAP 고시 개정안에 대해 회원사 대상으로 의견 수렴을 하는 한편 기술적·정책적 검토 후 의견을 제출할 예정이다.팽동현기자 dhp@dt.co.kr