정부, 클라우드 보안인증 재행정예고…"하등급 보안성 강화"

하 등급 보안성에 대한 업계 우려 반영…"하 등급 우선 시행 방침은 변함 없어"

[DB] 과학기술정보통신부 로고

(서울=뉴스1) 이기범 기자 = 정부가 '클라우드 보안인증'(CSAP) 등급제 도입을 위한 고시 개정안을 재행정예고했다. 앞선 행정예고 기간 접수된 업계 의견을 일부 반영해 '하' 등급에 적용되는 평가 항목을 보완한 게 골자다. 그러나 상·중·하 등급을 동시 시행해야 한다는 업계 요구와 달리 정부는 하 등급을 우선 시행하겠다는 입장에는 변함이 없다고 밝혔다.

과학기술정보통신부는 지난 19일 '클라우드컴퓨팅서비스 보안인증에 관한 고시 일부개정안'을 재행정예고하며 이달 30일까지 의견을 수렴하겠다고 밝혔다. 앞서 과기정통부는 지난달 29일 개정안을 발표했다. 행정예고 기간은 지난 18일까지였다.

과기정통부는 하 등급 보안성이 확보돼야 한다는 업계 요구를 반영해 보안성 평가 항목을 추가했다. 시큐어코딩 적용, 암호화 보안 정책 수립, 보안 로그 기능, 물리적 조치 등에 대한 내용이 보완됐다. 또 백업 데이터의 물리적 위치를 국내로 한정하도록 구체적으로 명시했다.

한편, 클라우드 보안인증 고시 개정안은 국가·공공기관 등 시스템을 중요도 기준으로 상·중·하 3등급으로 나누고, 등급별로 다른 클라우드 보안인증 기준을 적용한다는 게 골자다. 특히 '하' 등급에서 기존 물리적 망 분리 요건을 완화해 아마존웹서비스(AWS)나 마이크로소프트(MS), 구글 등 해외 사업자가 공공 클라우드 시장에 진입할 수 있는 길이 열리게 된다.

정부는 고시 공포 이후 '하' 등급을 우선 시행하고, '중'과 '상' 등급은 안전성을 고려해 디지털플랫폼정부위원회와 관계부처의 공동 실증 검증을 거쳐 세부 평가 기준을 보완해 시행한다는 계획이다.

업계에서는 상·중·하 등급의 형평성 있는 진행이 필요하다는 입장이다. 상·중 등급은 실증을 진행하고 해외 사업자가 들어올 것으로 예상되는 하 등급을 먼저 시행하는 게 역차별이라는 지적이다.

그러나 정부는 이 같은 방향성에는 변화가 없다는 입장이다.

과기정통부 관계자는 "사업자들이 준 의견 중 반영할 게 필요해 보여 재행정예고를 했고, 하 등급 보안성 관련 점검 항목을 추가했다"면서도 "하 등급을 우선 시행하겠다는 입장에는 변함이 없다"고 밝혔다.

Ktiger@news1.kr