국내 SaaS업계 "클라우드 보안인증 등급 분류, 명확한 가이드라인 있어야"

이종호 과학기술정보통신부 장관이 지난 12월29일 오전 세종시 정부세종청사에서 열린 비상경제장관회의에서 디지털 플랫폼 발전방안에 대해 발언하고 있다. 2022.12.29/뉴스1 ⓒ News1 김기남 기자

(서울=뉴스1) 이기범 기자 = 국내 서비스형 소프트웨어(SaaS) 업체들이 정부의 '클라우드 보안인증'(CSAP) 제도 개정안에 대해 상·중·하 등급 분류에 대한 명확한 가이드라인이 있어야 한다고 요구했다. 그동안 정부는 중소 SaaS 기업 등을 위한다는 명분으로 CSAP 개정을 진행해왔다.

한국클라우드산업협회는 11일 국내 SaaS 업체를 비롯해 서비스형 플랫폼(PaaS)·클라우드 관리 서비스(MSP) 업체들을 대상으로 진행된 CSAP 등급제 고시 개정안에 대한 논의 결과를 밝혔다.

지난 10일 진행된 간담회에는 SaaS·PaaS·MSP 21개 회원사, 33명이 참석해 △상·중·하 등급에 대한 기준, 시행방안 및 적용 시스템의 명확한 가이드라인 제시, 하등급도 실증 필요 △CSAP 상·중·하등급 동시 시행 △SaaS와 IaaS의 차별화된 평가 기준 등이 필요하다고 밝혔다.

앞서 지난 5일 네이버클라우드, NHN, 카카오엔터프라이즈 등 국내 클라우드 서비스 제공기업(CSP) 8곳을 대상으로 열린 협회 간담회에서도 "9월부터 상·중·하 등급을 동시 진행해야 한다"는 요구가 나왔다. 하 등급을 우선 시행하겠다는 정부 방안이 형평성에 어긋난다는 지적이다.

과학기술정보통신부는 지난달 29일 '클라우드 보안인증 고시 개정안'을 발표했다. 개정안은 국가·공공기관 등 시스템을 중요도 기준으로 상·중·하 3등급으로 나누고, 등급별로 다른 클라우드 보안인증 기준을 적용한다는 게 골자다.

특히 '하' 등급에서 기존 물리적 망 분리 요건을 완화해 아마존웹서비스(AWS)나 마이크로소프트(MS), 구글 등 해외 사업자가 공공 클라우드 시장에 진입할 수 있는 길이 열리게 된다. 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템에 적용된다.

고시 개정안 행정예고 기간은 오는 18일까지로, 정부는 업계 의견을 수렴한 후 최종 고시 개정안을 이달 중 공포할 예정이다.

한국클라우드산업협회는 "클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중에 있으며 기업들의 기술적·정책적 세밀한 검토 이후 의견을 제출할 예정"이라고 밝혔다.

Ktiger@news1.kr