외산 클라우드 공공 진출 본격화…'보안' 우려는 여전

과기정통부, CSAP 등급제 고시
1월부터 규제 완화한 '하'등급 인증 시행
데이터 유출 등 보안 우려 여전

[이데일리 함정선 기자] 외국계 클라우드 사업자들의 공공시장 진출을 본격화하는 ‘클라우드 보안인증(CSAP) 등급제’가 예정대로 시행된다. 국내 클라우드 서비스 사업자(CSP)들의 우려는 여전히 크지만, 공공 클라우드의 빠른 민간 전환을 강조하는 정부가 신속한 제도 도입을 밀어붙인 까닭이다.

다만 과학기술정보통신부는 관련 개정안에 대한 행정예고를 연기하며 국내 클라우드 업계의 우려와 의견을 최대한 반영했다는 입장이다. 업계는 일단 CSAP 등급제가 시행되는 만큼 시장에서 아마존, 마이크로소프트(MS) 등과 경쟁하기 위한 전략 구상에 나서고 있다.

과학기술정보통신부는 지난달 30일까지 진행한 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 행정예고를 끝내고 관련 개정안을 31일 고시했다. 이와 함께 ‘클라우드컴퓨팅서비스 정보보호에 관한 기준’ 개정안도 고시했다.

[이데일리 이미나 기자]

CSAP 개정에 따라 공공시장의 클라우드 보안인증은 기존 단일인증에서 ‘상·중·하’ 3단계로 나눠 진행된다. 이 중 ‘하’ 등급의 보안 규제는 완화될 예정으로, 과기정통부는 보안에 문제가 없다면 1월 중 ‘하’ 등급에 대한 인증을 우선 시행할 방침이다.

그간 국내 클라우드 서비스 사업자들은 ‘하’ 등급의 보안에 대한 우려를 지속적으로 제기해왔던 만큼 앞으로도 논란이 지속할 수 있다는 우려도 나온다.

국내 클라우드 서비스 사업자들은 데이터의 해외 유출, 백업 데이터 유출 등의 문제를 제기해왔고 이에 과기정통부는 고시 개정안에 클라우드 시스템과 백업 시스템, 데이터와 인력의 물리적 위치를 국내 한정해야 한다는 내용을 담기도 했다.

특히 막판까지도 보안을 둔 잡음이 이어지기도 했다. 애초 ‘하’ 등급은 ‘개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템’이 대상이지만 과기정통부가 재행정예고한 개정안에 마치 ‘하’ 등급이 개인정보를 다룰 수 있는 것과 같은 문구를 넣으면서다.

과기정통부는 보안강화를 위해 ‘암호정책수립’ 항목을 추가하며 ‘개인정보 저장 및 전송 시 암호화 적용 등 암호화 관련 법적 요구사항을 반드시 반영해야 한다’는 내용을 담았다. 이 때문에 업계에서는 ‘하’ 등급에서 개인정보를 다루는 것이 아니냐는 우려를 전달하기도 했다. 이에 31일 고시한 개정안에서는 ‘하’ 등급에는 해당 내용이 빠졌다.

국내 클라우드 사업자들은 외국계 사업자들의 공공시장 진출을 우려하면서도 CSAP가 시행되는 만큼 시장 경쟁에서 살아남기 위한 전략 구상에 나서고 있다. 그간 보안에 대한 우려를 제기해온 만큼 상대적으로 철저한 보안 관리를 장점으로 내세울 계획이다.

클라우드 관리 서비스 사업자(MSP) 들은 아마존, MS 등과 함께 공공시장에 진출하며 사업 기회가 넓어지는 만큼 신제품 등을 출시하며 시장을 확대해나갈 계획이다.

업계 한 관계자는 “국내 기업들은 기존 단일보안, 물리적 망분리 체계에서 서비스를 제공하는 만큼 보안에서 외국계 기업과는 차별화돼 있다”며 “다만, 하 등급이 먼저 시행되는 상황에서 시장을 외국계가 먼저 차지하게 되는 점이 우려되는 점”이라고 말했다.

함정선 (mint@edaily.co.kr)