[단독] 공공 클라우드 시장 외산에 개방… 아마존·MS·구글, 국정원과 ‘보안적합성’ 검증 합의

보안적합성 검증 받아야 클라우드보안인증(CSAP) 획득 가능
CSAP ‘하’ 등급 받으면 ‘개인정보 포함하지 않는 공공 서비스’ 가능
국정원, 초·중·고교 등 ‘다’ 등급 기관 진출만 허용

일러스트=챗GPT 달리3

아마존웹서비스(AWS)·마이크로소프트(MS)·구글 클라우드 등 글로벌 클라우드서비스기업(CSP) 3사의 국내 공공 클라우드 시장 진출 길이 열렸다. 지난해 초 글로벌 CSP 3사는 공공 클라우드 시장 진출을 위한 필수 요건인 클라우드보안인증(CSAP)을 한국 정부에 신청했지만 국가정보원이 지난해 말 보안적합성 검증 문제로 제동을 걸면서 심사가 중단됐었다.

23일 복수의 클라우드 업계 관계자에 따르면, AWS·MS·구글 클라우드는 최근 국정원과 국내 보안적합성(CC) 검증을 받기로 합의했다. AWS, MS, 구글 클라우드는 이달 중으로 검증을 받을 예정인 것으로 전해졌다. 국정원의 검증 과정과 관련해 구체적인 합의 내용은 알려지지 않았지만, 검증이 완료되기까지 수개월이 걸릴 전망이다.

글로벌 CSP 3사가 국정원 보안적합성 검증을 통과하면 CSAP 인증서를 획득하게 된다. CSAP는 민간 기업이 공공 시장에 공급하고자 하는 클라우드 서비스의 안전성·신뢰성을 증명하기 위한 인증 절차다. 과학기술정보통신부와 한국인터넷진흥원(KISA)이 심사를 거쳐 인증서를 발급한다.

클라우드 업계 관계자는 “글로벌 CSP 3사가 국정원 보안적합성 검증을 통과하면 올해 안으로 모두 CSAP 인증서를 획득하고 국내 공공 클라우드 시장에 진입하게 될 것”이라고 말했다.

앞서 과기정통부는 지난해 ‘클라우드 보안인증 고시 개정안’을 통해 국가기관 등 시스템을 중요도 기준으로 상·중·하 3등급으로 구분, 등급별로 차등화된 CSAP 기준을 적용했다. ▲하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템 ▲중 등급은 비공개 업무자료를 포함 또는 운영하는 시스템 ▲상 등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류했다.

하 등급의 경우 서버가 반드시 국내에 있어야 하는 ‘물리적 망분리’ 대신 ‘논리적 망분리’를 허용해 글로벌 클라우드 기업의 시장 진입이 가능해진 것이다. 논리적 망분리란 네트워크 가상화 기술을 통해 가상 수준에서 네트워크를 분할하는 기술이다.

글로벌 CSP 3사는 지난해 과기정통부에 CSAP를 신청하고 KISA가 심사에 들어갔지만 무기한 중단 상태였다. 하 등급의 조건에 국정원의 보안적합성 검증과 국내 암호화 알고리즘인 ‘아리아(ARIA)’ ‘시드(SEED)’를 사용하는 것이 포함하면서 제동이 걸렸던 것이다.

과기정통부와 KISA는 글로벌 CSP 3사에 CSAP 인증서 획득을 위해 국정원과 합의할 것을 요청했지만, 이들 기업은 관련 조건이 글로벌 스탠더드와 상충한다며 반발했다. 주한미국상공회의소(AMCHAM)까지 나서 우리 정부에 CSAP 기준 완화를 요구했다.

이에 국정원은 CSAP 하 등급 인증서를 받으면, 국정원의 보안적합성 검증 대상인 가·나·다 등급 기관 중 다 등급만 진출을 허용하기로 한 것으로 전해졌다. 다 등급은 중앙행정기관 산하 위원회, 기초자치단체 및 산하기관, 초·중·고교 등이 대상이다. 업계 관계자는 “다 등급 시설은 초·중·고교가 다수라 당장 공공 클라우드 시장에서 글로벌 CSP의 영향력이 크지는 않을 것”이라고 말했다.

KISA 관계자는 “(글로벌 CSP 3사) 인증을 진행 중이고 아직 결과가 나오지 않았다”고 말했다.

- Copyright ⓒ 조선비즈 & Chosun.com -