'클라우드 빗장' 푸는 정부…업계 "가이드라인 명확히 해야"

/사진=게티이미지뱅크

정부가 추진 중인 클라우드 보안인증 제도(CSAP) 등급제 개편을 앞두고 국내 업계가 개선 필요성 등 비판 목소리를 높이고 있다. 이달 중 공포될 최종 개정안에 업계 의견이 얼마나 반영될 수 있을지 관심이 쏠린다.

11일 한국클라우드산업협회에 따르면 협회는 전날 국내 서비스형 소프트웨어(SaaS)·서비스형 플랫폼(PaaS)·클라우드 관리 서비스사(MSP) 분야 회원기업 21개사(서면 의견제출 기업 제외)를 대상으로 클라우드 보안인증 등급제 고시 개정안에 대한 논의를 진행했다. 앞서 지난 5일에는 클라우드 서비스 제공 사업자(CSP) 7개사가 참여해 CSAP 개편 관련 의견을 나눈 바 있다.

이는 오는 18일까지 과학기술정보통신부가 행정예고하고 있는 '클라우드 컴퓨팅 서비스 보안인증에 관한 고시' 개정안에 대한 의견수렴을 위해서다. 국가·공공기관 중요도에 따라 상·중·하로 나눈 뒤, '하'등급으로 분류된 국가·공공기관에 납품되는 클라우드 서비스에 대해 보안기준을 완화하겠다는 게 개정안의 골자다. 고시가 개정되면 국내 공공 클라우드 시장에 해외기업 진입이 쉬워져 시장판도에 적잖은 변화가 생긴다.

/사진=뉴시스

이번 간담회에선 특히 가이드라인이 불명확하다는 지적이 잇따랐다. 클라우드 보안인증 상·중·하등급에 대한 기준 등 가이드라인이 명확해야 기업들이 개정 고시에 맞춰 준비할 수 있다는 것이다. 기업들은 "기존 SaaS 간편인증은 하등급으로 인정된다고 고시에 명시됐음에도 개인정보 포함 서비스의 경우 해당 등급이나 재인증 필요 여부 등의 내용도 명확하지 않다"며 "세부 정보와 CSAP 등급제의 방향이 불명확해 SaaS기업 입장에서는 무엇을 준비해야 하는지 알 수 없다"고 말했다.

기업들은 클라우드 보안인증 상·중·하등급 동시 시행이 필요하다는 입장이다. 기업들은 "자사 서비스가 상·중·하등급 중 어떤 시스템에 사용될지 알 수 없어 모든 등급 기준이 명확졌을 때 시행하는 것이 필요하다"며 "수요기관도 시스템 등급에 대한 정확한 검토가 불가능해 당분간 사업 시행이 어려울 수 있다"고 우려했다.

SaaS, IaaS의 차별화된 평가기준이 필요하다는 의견도 나왔다. 기업들은 "IaaS와 SaaS의 서비스 영역이 다른데 같은 잣대로 평가하는 것은 개선돼야 한다"며 "등급제는 SaaS·PaaS·IaaS의 보안인증 분리가 선행된 뒤에 고려해야 할 사항"이라고 강조했다.

그러면서 "보안인증 기준 130여개 중 간편인증에서 받아야 하는 건 30여개였는데, 하등급으로 나온 항목은 50여개"라며 "SaaS 간편인증보다 하등급이 더 어려워 간편인증 기준에 맞춰 하등급을 줄이는 등 조정해야 한다"고 말했다.

홍효진 기자 hyost@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>