“CSAP 등급제 개편, 실증 거쳐 ‘보안’ 허점 막아야”…지원 확대도 주문
’클라우드 보안인증(CSAP)’ 등급제 도입을 앞두고 데이터 보안을 가장 중심에 두고 세부 사항을 다듬어야 한다는 의견이 제시됐다. 특히 ‘논리적 망분리’를 허용하는 하 등급은 실증을 거쳐 더 세밀한 보안 강화 노력이 필요하다는 의견이다. 또한 하 등급을 시행하더라도 보안성 강화에 초점을 맞추면 향후 보안 솔루션의 확산 등 소프트웨어(SW) 산업에도 도움이 될 거라는 전망이 나왔다.
16일 윤영찬 더불어민주당 의원실은 서울 여의도 국회의원회관에서 ‘바람직한 클라우드 생태계 발전 방안 토론회’를 개최했다. CSAP 등급제에 대해 산업계와 학계, 정부 등 이해관계자의 의견을 나누는 자리다.
앞서 지난해 12월 과학기술정보통신부는 CSAP 등급제 도입을 위한 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 행정예고했다. 국가·공공기관 등의 시스템을 중요도 기준으로 상·중·하 3등급으로 나누고, 등급별로 다른 기준을 적용하는 게 핵심이다.
특히 하 등급에 이제껏 허용하지 않던 논리적 망분리를 허용하기로 하며 외국계 클라우드서비스사업자(CSP)들의 한국 공공 시장 진출이 가능해졌다. 본사 정책 등으로 주로 논리적 망분리 방식을 따르던 외국계 CSP에 공공 시장의 문호를 열어준 셈이다. 이에 시장 잠식을 우려하는 국내 CSP들의 반발이 큰 상황. 상·중 등급과 다르게 실증 없이 하 등급을 먼저 시행하기로 한 것도 반발을 샀다.
토론자들은 현재 정부 방침에 반대 의견을 내며 하 등급 또한 데이터 ‘보안’을 중시해야 한다고 강조했다. 시스템 중요도에 따라 등급을 나눈다지만, 하 등급을 적용한 곳이라도 정보 유출 사태가 일어나면 치명적이라는 의견이다.
발제를 맡은 나종회 광주대 컴퓨터공학과 교수는 “등급에 대한 분류가 시스템의 중요도가 아니라 민감도에 따라 구분돼야 한다”고 말했다. 현 고시 개정안에 따르면 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템에 적용할 방침이다. 하지만 공공 데이터라도 개방 전에 민감한 데이터가 정제 없이 유출되면 문제가 생길 수 있어 신중한 기준 설정이 필요하다는 의견이다.
그는 또 “클라우드 전환 사업은 사업 성과를 위한 전환 모델과 방식, 대상에 있어서 전반적인 개선이 필요해 보인다”면서 “현재와 같은 일률적인 방식(온프레미스를 클라우드로 전환하는 것)에서 벗어나 클라우드 네이티브로 새로운 기능이 개발되는 방향으로 수행이 필요하다”고 제언했다.
국내 CSP들 “하 등급 우선 시행 반대…보안 기준 명료해야”
업계도 이러한 의견과 궤를 같이했다. 하 등급 우선 시행 방침을 거둘 것을 요구하면서도, 만약 하 등급을 먼저 시행할 경우가 생기더라도 보안에 초점을 맞춰야 한다고 강조했다.
윤동식 한국클라우드산업협회장(KT클라우드 대표)은 “하 등급을 우선 시행하는 것에 반대하지만, 만약 피치 못한 사정으로 먼저 시행하려면 전제 조건이 있어야 한다”며 “인프라가 안전하게 돌아가는지 모두 테스트를 해야 하고, 이에 따른 인력과 비용 부담에 대해 논의해야 한다”고 말했다.
특히 이제까지의 제도에서는 물리적 망분리를 의무화해 일종의 안전장치로 삼았지만, 하 등급에 논리적 망분리를 허용하기로 한 만큼 원격 방화벽이나 침입탐지(IDS), 침입방지(IPS) 등 보안 강화를 위한 솔루션 적용과 테스트가 필요하다는 게 그의 생각이다. 특히 정부가 예산을 늘려 테스트 인력과 별도의 보안 SW 구매 등을 지원하면 보안성이 강화될 뿐더러 관련 산업도 성장할 거란 전망이다.
윤동식 회장은 “논리적 망분리가 허용되면 기존에 물리적으로 제공됐던 보안 기능이 고객사 서버 또는 PC에 의무 제공돼야 하지만, (현 고시 개정안에는) 이에 대한 조항이 없다”면서 “논리적 망분리를 허용하더라도 보안성이 담보될 기준과 절차가 필요하다”고 강조했다.
기정수 NHN클라우드 상무도 “기존 CSAP 인증 항목에서 상당 부분 물리적 보호 조치를 뺀 구조로 시행하는 것으로 이해하고 있다”며 “보안 차원에서 더욱 많은 게 점검되고 기준도 명료해야 한다”고 말했다.
그러면서 “문제가 생기면 민간 클라우드를 신뢰할 수 없는 결과가 되지 않을까 (우려한다)”면서 “하 등급 또한 실증을 통해 보안 우려가 없는지 충분히 확인하고 난 뒤 시행해도 늦지 않다”고 덧붙였다.
네이버클라우드는 산업 생태계 전체에 대해 아쉬움을 표했다. CSAP 등급제를 포함해 정책 대부분이 업계에 요구사항을 제시하는 가운데 수요 자체는 제자리 걸음이라고 토로했다.
김준범 네이버클라우드 이사는 “현재 한국의 클라우드 생태계에서는 국내 CSP가 서비스를 공급할 수 있는 기회가 몇 없다”면서 “(논리적 망분리가 허용되며) 외국계 진출을 막던 장벽이 사라졌을 때 국내 사업자가 지속적으로 경쟁력을 가질 수 있을지 제고해 봐야 한다”고 말했다.
이어 “수요(공공 클라우드 사업 발주 등) 이야기는 없고 공급(방안 또는 자격 요건)에 대한 이야기만 나온다”면서 ”시장을 활성화하는 발전 방안이 무엇인지 사업자들과 정부가 이야기해야 할 시점”이라고 목소리를 높였다.
이날 토론회에서는 서비스형플랫폼(PaaS) 업계의 입장도 제시됐다. CSP뿐만 아니라 클라우드 관련 업계 전반의 이슈인 만큼 정부의 지원을 늘려 달라는 요구다.
김홍준 나무기술 상무는 “공공 부분의 민간 클라우드 도입 활성화라는 취지에는 공감한다”면서도 ”대규모의 클라우드 전문 인력 양성과 공급이 절실하다”고 말했다. PaaS를 비롯해 서비스형소프트웨어(SaaS) 기업들은 상대적으로 규모가 영세한 경우가 많지만 인프라에 초점을 맞춘 정책이 대부분이라 대규모의 지원이 없으면 생존이 어렵다는 게 김홍준 상무의 말이다.
정부는 이날 의견을 바탕으로 고시 개정안을 확정할 방침이다. 오는 18일까지가 행정예고 기간이지만, 설 명절 이후까지 의견을 수렴하고 최종안을 발표할 거라는 게 정부의 설명이다.
엄열 과학기술정보통신부 인공지능기반국장은 “우려점을 잘 알고 있다”면서 “행정안전부, 국가정보원 등과 세밀히 논의하고 업계 의견을 반영해 개선할 수 있는 부분도 검토해 나가겠다”고 밝혔다.
토론회를 개최한 윤영찬 의원은 “앞으로 시장에 엄청난 변화가 올 수 밖에 없다”며 “올바른 방향으로 이끌기 위해서는 (CSAP 등급제가) 사업적 영역 확대라는 확신을 주고 난 뒤 하 등급(시행)을 논의해도 늦지 않다”고 말했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
