외산 진입 코앞… 클라우드 보안인증 `상·중 등급 실증` 서둘러야

시스템 중요도 따라 3 등급…개인정보 미포함 '하' 즉시 시행
외산 진입 불가능한 '상·중등급'은 실증에만 8개월 소요 예상

국내 클라우드 업계의 '뜨거운 감자'로 떠올랐던 CSAP(클라우드 보안인증) 등급제가 시행됐다. 일부 공공 시스템에 대한 외산 CSP(클라우드서비스제공사)의 진입이 임박한 가운데 국내 CSP들의 관심은 외산 진입이 불가능한 나머지 시스템의 실증에 쏠린다. 시스템 실증이 늦어질 경우 올해 공공 사업 추진이 지연돼 업계 실적 악화로 이어질 수 있기 때문이다.

과학기술정보통신부는 지난달 31일 CSAP 등급제 내용을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 공표했다. 국가정보원도 같은 날 국가정보보안기본지침을 공개, 시스템 중요도 분류 기준이 마련됐다.

CSAP 등급제는 민간 클라우드 도입을 희망하는 정부부처나 기관이 국가정보보안기본지침을 참고해 각각의 시스템을 중요도에 따라 상·중·하 세 등급으로 자체 분류하는 게 골자다. 개인정보를 포함하지 않는 하등급 시스템의 경우 이번 고시 공포와 함께 즉시 시행됐고, 나머지 중·상등급 시스템에 대해서는 과기정통부가 디지털플랫폼정부위원회 등 관계부처와 공동 실증을 거쳐 연내 시행할 예정이다.

이 고시 개정안은 지난해 12월 29일 행정예고됐으나 클라우드 업계 내에서 반발이 일자 과기정통부가 추가 의견수렴을 위해 지난달 30일까지 기간을 연장한 바 있다.

하등급에 한해 논리적 망분리가 허용됨에 따라 외산 CSP들의 공공시장 진입이 가능해지자 기존 물리적 망분리 요건 충족을 위해 투자했던 국내 CSP들에 대한 역차별 논란이 일었다. 하등급만 실증을 거치지 않는 것에 대해서 보안성 우려도 제기됐으나 제도는 그대로 시행됐다. 다만 의견수렴 과정에서 제기된 암호화 보안정책 수립, 백업 데이터 물리적 위치의 국내 한정 등은 반영됐다.

상·중·하등급 동시 시행을 요구했던 국내 CSP들은 이제 상·중등급의 빠른 실증이 필요하다는 데 한 목소리를 낸다. 자칫 CSAP 제도로 인해 공공 클라우드 프로젝트 발주가 늦어질 우려가 있기 때문이다.

디지털플랫폼정부 로드맵 수립과 CSAP 등급제 등의 영향으로 정부의 2023년도 공공 클라우드 사업 내역도 아직 나오지 않은 상황이다. 과기정통부가 언급한 상·중등급 실증기간은 8개월로 알려졌는데, 이보다 당겨서 상반기 내에는 마쳐야 한다는 게 업계의 주장이다.

앞서 지난달 31일 열린 기자간담회에서 고진 디지털플랫폼정부위원장은 "실증 과정에서 업계 의견도 수렴할 것"이라면서 "민간 클라우드에 가장 중요할 시장이 될 중등급에 어떤 시스템이 포함될지 테스트해볼 계획"이라고 밝힌 바 있다.

과기정통부는 관계자는 "관계부처와 협의해 최대한 빠르게 상·중등급 실증을 진행할 예정"이라며 "기존 고시 내용에 맞춰 인증을 준비 중인 사업자들에게도 충분한 시간을 주려 한다"고 밝혔다. 상·중급 실증을 마치기 전까지는 등급제를 포함하지 않은 기존 고시 내용도 유효하다. 일종의 유예기간을 두고 병행하겠다는 취지다.

윤동식 한국클라우드산업협회장(KT클라우드 대표)은 "글로벌 CSP들이 CSAP 하등급을 어떻게 취득하고 있는지 모니터링할 것"이라며 "공공 고객들이 최대한 국내 CSP들을 선택할 수 있도록 더 노력하겠다"고 말했다.

팽동현기자 dhp@dt.co.kr