"클라우드보안등급제, 시스템 중요도 NO, 데이터 민감도에 따라 나눠야"

윤정민 기자 2023. 1. 16. 15:42
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

정부가 클라우드 보안인증(CASP) 등급제 시행을 행정예고한 가운데 데이터 주권·보안 측면에서 위험성이 크다는 경고가 잇따르고 있다.

나종회 광주대 컴퓨터공학과 교수는 16일 국회 의원회관에서 개최된 '바람직한 클라우드 생태계 발전방안 토론회'에서 기조발제를 통해 "CASP의 등급 분류가 대상 시스템의 중요도가 아니라 데이터의 민감도에 따라 구분돼야 한다"며 이같이 주장했다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

기사내용 요약
윤영찬 더민주 의원, 바람직한 클라우드 생태계 발전방안 토론회서 지적
나종회 광주대 교수 "데이터 주권, 보안 측면의 위험성 크다"
"정부 공공클라우드 전환모델, 진정한 민간 전환 아냐"

클라우드 보안 인증 마크 *재판매 및 DB 금지

클라우드 보안 인증 마크 *재판매 및 DB 금지

[서울=뉴시스]윤정민 기자 = 정부가 클라우드 보안인증(CASP) 등급제 시행을 행정예고한 가운데 데이터 주권·보안 측면에서 위험성이 크다는 경고가 잇따르고 있다.

나종회 광주대 컴퓨터공학과 교수는 16일 국회 의원회관에서 개최된 '바람직한 클라우드 생태계 발전방안 토론회'에서 기조발제를 통해 "CASP의 등급 분류가 대상 시스템의 중요도가 아니라 데이터의 민감도에 따라 구분돼야 한다"며 이같이 주장했다.

과학기술정보통신부는 2016년부터 시행한 CASP의 단일 인증체계를 시스템 중요도에 근거해 상·중·하 3대 등급을 나눠 보안인증 절차를 달리하는 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 행정 예고했다.

상 등급은 '민감정보를 포함하거나 행정 내부 업무 운영 시스템'으로 분류해 기존 CASP 인증 기준보다 높게 설정하고, '개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템'은 하 등급으로 분류한다. 클라우드서비스 제공자의 민간공공 영역 간 논리적 분리를 허용하기 위해서다.

하지만, 하 등급 개방에 있어 '클라우드 보안 인증 완화가 외산 클라우드 기업에 시장을 내주는 꼴'이라는 지적이 있었다. 이에 과기정통부는 논리적 분리를 허용하는 대신 데이터의 물리적인 위치를 국내로 한정하고 데이터 제3자 제공 및 국외 이전을 막을 수 있도록 했다.

그러나 외산 기업들이 물리적 데이터를 국내에 저장하더라도 백업 데이터 저장 위치를 해외 지역으로 둘 수도 있다는 업계 관계자들의 지적이 제기돼왔다. 나 교수도 이와 같은 방향으로 개정되면 우리 정부의 데이터 주권에 관한 행정력이 해외기업에 미치지 못할 수 있다고 전했다.

또, 논리적 분리로 민간의 공간과 장비를 공유할 수 있어 디도스 등의 공격에 의해 공공존이 영향을 받는 보안 취약점이 발생할 수 있다고 덧붙였다.

"정부의 공공부문 클라우드 전환모델, 진정한 민간 전환 아냐"

나 교수는 공공부문 클라우드 전환을 위한 정부 지원사업에도 전환모델, 전환방식, 전환 대상 등에 있어서 전향적인 개선이 필요하다고 지적했다.

정부는 현재 민간 클라우드 활용을 촉진하고 클라우드 산업생태계를 강화하기 위해 공공부문 클라우드 전환사업을 수행하고 있다. 공공부문 클라우드 전환 모델 중 민관협력형 모델이 있는데, '높은 보안 수준을 요구하는 민감 정보 등 규제정책으로 민간 클라우드 활용이 어려운 시스템에 대해 공공기관 내부에 자체 클라우드를 임차 및 구축하는 방식'으로 정의하고 있다.

나 교수는 이러한 민관협력형 모델이 '진정한 형태의 민간 클라우드'가 아니라며 "특정 클라우드 서비스 사업자에 대한 록인, 규모의 경제에 따른 비용 문제, 민간의 우수한 기술의 지속적인 적용 및 혁신적인 공공 클라우드 창출 불가 등과 같은 다양한 문제를 야기한다"고 말했다.

나 교수는 전환 방식에 대해서도 정부의 일률적인 '리프트 앤 시프트' 방식이 아닌 '리팩터(Refactor)'나 '리플레이스(Replace)' 방식을 따라야 한다고 주장했다. 정부의 방식이 큰 노력을 필요로 하지 않고 전환을 더 빨리 수행할 수 있지만, 애플리케이션이 새로운 클라우드 서비스 환경의 이점을 얻기 어렵기 때문이다.

리팩터 방식은 기존 온프레미스(기업이 자체 시설에서 보유하고 직접 유지 관리하는 데이터센터) 환경을 클라우드 환경에 맞도록 전면 새로 다시 구성하며 진행하는 방법이고 리플레이스 방식은 시스템으로 교체하는 방법으로 요구사항에 맞게 시스템의 기능과 구성요소를 새로 작성하거나 새 제품으로 바꾸는 것을 말한다.

나 교수는 이러한 방식이 전환 대상 특성에 따라 '클라우드 네이티브' 기능을 사용해 새롭게 기능을 개발할 수 있다고 전했다.

나 교수는 "클라우드는 최근 타 기술, 산업과 융합해 대부분의 온·오프라인 서비스가 클라우드화되며 '모든 것의 서비스화(XaaS)'로 개념이 확장되고 있다"며 이러한 클라우드 생태계 변화에 적절한 방향을 설정하고 공공부문이 이를 능동적으로 수용한 정책 마련과 실행이 필요하다고 덧붙였다.

한편, 이번 토론회는 클라우드 정책을 끌어나갈 정부 부처와 산업계 전문가들의 의견을 듣고, 디지털 시대의 핵심 인프라인 클라우드 분야를 선도하기 위한 올바른 정책 방향을 논의하기 위해 마련됐다.

나연묵 단국대 소프트웨어융합대학 컴퓨터공학과 교수가 좌장을, 윤대균 아주대 소프트웨어학과 교수, 윤동식 한국클라우드산업협회장, 기정수 NHN클라우드 상무, 김준범 네이버클라우드 이사, 김병철 스마일서브 대표이사, 김홍준 나무기술 상무, 엄열 과학기술정보통신부 인공지능기반국장, 서보람 행정안전부 디지털정부국장 등이 토론자로 참석했다.


☞공감언론 뉴시스 alpaca@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
뉴시스에서 직접 확인하세요. 해당 언론사로 이동합니다.