공공기관이 민간 클라우드를 도입할 때 요구하는 ‘클라우드 서비스 보안인증(CSAP)’ 등급제의 ‘물리적 망분리’ 요건을 완화해 ‘논리적 망분리’를 허용해야 한다는 주장이 제기됐다.

요건은 완화하되 글로벌 클라우드 서비스 사업자(CSP)가 관리하는 데이터 제어와 소유권을 명확히 우리나라가 가지고, 징벌적 손해배상제 등 글로벌 CSP의 보안 사고에 대한 강력한 책임을 지워야 한다는 의견도 함께 제시됐다.

15일 서울 삼성동 코엑스에서 열린 ‘SaaS 서밋 2022’에서 양희동 이화여대 교수(한국경영정보학회장)는 ‘클라우드 보안인증(CSAP) 등급제, 기회인가? 위험인가?’를 주제로 한 기조연설에서 “논리적 망분리를 허용해야 한다”고 말했다.

현 CSAP 제도는 공공용 서버와 민간용 서버를 물리적으로 구분해 운영하는 ‘물리적 망분리’를 인증 요건 중 하나로 둔다. 또한 컴퓨팅 설비의 위치도 국내로 한정한다. 글로벌 CSP는 이를 지키지 못해 국내 공공시장 진출에 장벽이 있었다. 정부는 최근 데이터 민감도에 따라 ‘상·중·하’로 나누는 CSAP 등급제 도입을 예고했다. 글로벌 CSP들은 현 CSAP보다 기준이 낮을 것으로 전망되는 ‘하’등급을 노릴 것으로 보인다.

시장을 계속 지키려는 국내 CSP와 시장 진출을 노리는 글로벌 CSP의 시각이 엇갈리고 있다. 특히 글로벌 CSP들은 논리적 망분리로 충분하다는 의견을 꾸준히 제시해 왔다. 논리적 망분리는 가상 클라우드 서버 등을 통해 하나의 서버 안에서 망을 분리시켜 놓은 것을 말한다. 글로벌 CSP는 서버가 외국에 있어 현실적으로 물리적 망분리가 어렵고, 논리적 망분리로도 보안을 지킬 수 있다는 입장이다.

양 교수는 논리적 망분리 주장의 이유로 우크라이나와 러시아간 전쟁을 예로 들었다. 그는 “논리적 망분리를 통해 우크라이나의 데이터센터가 파괴된 상황에서도 데이터를 지킬 수 있었다”며 “국가비상 사태에서도 데이터를 살릴 수 있다 ”고 말했다.

그는 또 “물리적 망분리를 견지하는 국가(정부) 입장도 확실치 않다”고 말했다. 지난해 아파트 월패드 해킹으로 사생활이 유출된 사건 이후 ‘지능형 홈 네트워크 설비 설치 및 기술기준’ 고시가 개정됐다. 여기에는 ‘물리적 또는 논리적 방법으로 세대별 홈 네트워크 망 분리’ 내용이 포함됐다. 이처럼 사안별로 논리적 망분리를 허용하는 분야가 있어 결국은 논리적 망분리로 기준을 바꿔야 한다는 주장이다.

양 교수는 현 CSAP 제도가 글로벌 CSP의 국내 진출을 막는 보호무역주의 성격이 있어 국제통상 이슈가 될 수 있는 점도 우려했다. 대신 논리적 망분리는 허용하되 향후 국내 기업이 해외에 진출할 때 규제 개선을 요구하는 등 일종의 협상 카드로 삼아야 한다는 게 그의 주장이다.

그는 “(논리적 망분리로 한국에 진출한) 글로벌 CSP에 분명히 ‘데이터 주권’을 요구해야 한다”며 “원칙적으로 데이터에 대한 제어 및 소유권을 유지하고 보안 사고가 난 기업은 징벌적 손해배상제 등 강력한 사후 책임을 지게 해야 한다”고 강조했다.


이날 서밋은 이밖에도 ‘SaaS로 만들어가는 신(新)SW생태계’ 세션도 마련했다. 토크콘서트 방식으로 열린 세션은 서비스형소프트웨어(SaaS)가 우리나라 비즈니스 생태계에 가져온 영향을 되짚었다.

송호철 더존비즈온 플랫폼사업부문 대표는 “결국은 데이터가 SaaS를 통해 모인다는 점이 중요하다”며 “여러 기업의 데이터를 분석, 새로운 모델을 만들고 다시 새로운 소프트웨어(SW)에 접목하는 선순환체제가 될 수 있다”고 말했다.

김은주 한국지능정보사회진흥원(NIA) 단장도 “예전의 설치형은 데이터가 온전히 고객의 것이라 SW기업이 쌓이는 데이터에 접근할 수 없었다”며 “이제는 데이터를 축적하고 서비스를 혁신할 수 있기 때문에 굉장히 좋은 혁신의 선순환이 된다”고 말했다.

국내 CSP들의 해외 진출도 독려했다. 양 교수는 “우리나라 업체도 특화된 클라우드로 외국에 많이 진출했으면 좋겠다”며 “점점 서비스를 특화해 유연성을 제공하는 것도 좋은 전략일 것”이라고 되짚었다.

한편 이날 세션에서는 더존비즈온이 추진하는 클라우드 기반 의료 데이터 솔루션 ‘의료 빅데이터 플랫폼’의 로드맵도 소개됐다. 더존비즈온은 삼성서울병원 등과 협력해 병원의 연구용 의료데이터를 클라우드를 통해 수집, 데이터 기반의 의료연구 혁신을 지원하고 있다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network


[온라인 컨퍼런스] 제조공장, 산업기반시설 ‘OT/ICS 환경 보안’ 방안 2022

‘다양한 산업 환경의 운영기술(OT)·산업제어시스템(ICS) 환경에서 정보 탈취, 운영 중단, 랜섬웨어 감염 등과 같은 악의적인 공격 시도와 보안 사고들이 지속적으로 나타나고 있습니다. 하지만 전체 자산에 대한 가시성을 확보하는 것은 물론, 지능형 위협과 이상 행위에 대해 포괄적인 탐지·보호·대응체계를 갖추는 것이 쉽지 않은 상황입니다. 10월 20일 이번에 개최하는 ‘OT/ICS 환경 보안 방안’ 온라인 컨퍼런스에서 OT/ICS 환경을 위협하는 요소들과 더불어 적절한 보안체계를 수립하는데 필요한 다양한 정보들을 얻어갈 수 있길 바랍니다.

일시 : 2022년 10월 20일 (목) 13:30 ~ 17:20
장소 : 온라인
문의 : byline@byline.network
자세히 보기