CSAP 등급제 시행 임박…국내 클라우드 사업자 반발은 여전

By이진호

클라우드 보안인증(CSAP) 등급제 시행이 초읽기에 들어갔다. 시스템 중요도에 따라 상·중·하 등급으로 나누는 한편, 해외 클라우드 서비스 사업자(CSP)의 국내 공공시장 진출이 가능해진다. 정부는 관련 고시의 행정예고 기간을 늘려가며 의견을 수렴했지만, 시장 잠식을 우려하는 국내 CSP의 반발은 여전하다.

31일 과학기술정보통신부는 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안 재행정예고를 끝냈다. 당초 지난 18일까지가 고시 입법예고 기간이었지만 과기정통부는 의견을 더 수렴해 달라는 업계 요구를 받아들여 행정예고 기간을 지난 30일까지로 늘린 바 있다.

CSAP 등급제는 국가기관 등의 시스템을 중요도 기준으로 상·중·하로 구분한다. 특히 이중 하 등급의 경우 논리적 망분리를 허용하기로 했다. 이를 통해 기존 ‘물리적 망분리’라는 인증 요건에 막혔던 외국계 CSP들도 한국 공공시장 진출이 가능해졌다. 또한 하 등급은 시범·실증을 진행한 뒤 시행하는 상·중 등급과 달리 고시 공포와 동시에 시행한다.

재행정예고된 고시를 보면 우려를 반영한 부분이 보인다. 처음 행정예고안에는 ‘클라우드 시스템 및 데이터의 물리적 위치는 국내로 한정하고’라고 명시됐던 부분이 재행정예고 버전에서는 ‘클라우드 시스템, 백업 시스템 및 데이터와 이를 위한 관리·운영 인력의 물리적 위치는 국내로 한정하고’로 바뀌었다.

과기정통부 관계자는 “데이터의 국외 유출을 방지하자는 취지”라고 설명했다. 논리적 망분리를 허용하면서 국내 CSP를 중심으로 데이터 주권 훼손 우려가 나온 만큼 인력과 시스템을 위치를 우리나라 안으로 한정해 데이터 유출을 막겠다는 것이다.

또한 재행정예고안은 하 등급에 ‘클라우드컴퓨팅서비스에 저장 또는 전송 중인 데이터를 보호하기 위해 암호화 대상, 암호 강도(복잡도), 키관리, 암호 사용에 대한 정책을 마련해야 한다. 또한 정책에는 개인정보 저장 및 전송 시 암호화 적용 등 암호화 관련 법적 요구사항을 반드시 반영해야 한다’는 내용을 추가했다.

이견이 나오는 건 ‘개인정보 저장 및 전송 시~’라는 문구다. 본래 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템에 적용하기로 했다. 하지만 개인정보라는 표현이 들어가며 하 등급도 개인정보를 다룰 수 있다는 해석이 가능하다는 지적이다.

과기정통부는 하 등급도 다른 등급과 마찬가지로 암호화 등을 통해 보안을 강화해야 한다는 취지라고 설명했다. 단, 오해의 소지가 있는 만큼 다소 표현을 고쳐 최종 고시에 반영하기로 했다.

고시는 늦어도 오는 2월1일 시행될 전망이다. 과기정통부 관계자는 “현재 최종안을 다듬는 단계”라고 말했다. 빠르면 31일 저녁, 늦어도 내일 안에는 공포할 거라는 게 과기정통부의 설명이다. 상·중·하 등급 기준은 국가정보원이 마련하는 국가정보보안기본지침에 따라 개별 공공기관이 자체 분류하게 된다.

외국계 CSP의 공공시장 진출이 가능해지면서 국내 CSP들은 시장을 뺏긴다는 볼멘소리를 내고 있다. 예산 상황도 녹록지 않다. 2023년도 행정안전부 공공 클라우드 전환사업 예산은 342억원이다. 2021년 행안부가 제시한 ‘행정·공공기관 정보자원 클라우드 전환·통합 추진계획’에 담긴 1754억원의 20%에 그친다. 단순 계산하면 공공 클라우드 시장 파이가 당초 계획의 5분의 1로 쪼그라든다는 이야기다. 여기서 또 외국계와 경쟁해야 해 더욱 어려움을 겪는다는 게 국내 CSP의 호소다.

이미 민간 클라우드 시장은 외국계가 장악하다시피 했다. 공정거래위원회에 따르면 2021년 기준으로 아마존웹서비스(AWS)가 62.1%의 점유율을 기록했고 마이크로소프트 애저(Azure)가 12%를 점유했다. 3위 네이버클라우드의 점유율은 7%에 그친다. 클라우드를 쓰는 민간 10곳 중 7곳 이상이 외국계 CSP를 활용하는 상황서 희망이었던 공공 클라우드 시장마저 외산에 점령당할 거란 우려가 나온다.

한 국내 CSP 관계자는 “국내 공공 클라우드 시장을 위해 이미 기술 투자를 다 진행해 놓은 국내 CSP에 불합리한 조치로 생각한다”면서 “(유예 기간 차원에서) 상·중·하 등급 동시 시행을 요청했지만 받아들여지지 않아 아쉽다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다