‘CSAP’ 행정예고, 시행 초읽기…클라우드 업체 기대감↑

By이진호

정부가 클라우드 보안인증(CSAP) 등급제를 본격 시행한다. 아직까지 구체적인 방안이 나오지 않았던 상 등급과 중 등급의 인증 평가 기준을 공개했다. 모든 등급의 인증 방안이 나오면서 공공 클라우드 전환도 속도를 낼 것으로 보인다. 외국계 클라우드서비스제공사(CSP)의 시장 진출을 우려했던 국내 CSP의 반발도 조금은 가라 앉은 모습이다.

과학기술정보통신부는 최근 CSAP 등급제의 상·중 등급 평가기준을 제시한 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부 개정안을 오는 26일까지 행정예고한다고 밝혔다. 행정예고 기간이 끝나면 규제 심사를 거쳐 상반기 중 CSAP 등급제가 본격 시행된다.

앞서 과기정통부는 지난해 초 CSAP 등급제 시행 방안을 공개하고, 데이터 중요도에 따라 상·중·하 3단계로 분류하는 형태로 제도를 고치기로 했다. 기존의 방식으로는 데이터 특성을 모두 반영하지 못한다는 지적이 있었고, 클라우드 서버를 민간존과 공공존으로 나누는 물리적 망분리를 필수 요건으로 둬 현 시대 흐름에 맞지 않는다는 지적을 반영했다.

구체적으로 국가 중대 이익이나 수사·재판 등 민감정보를 포함하거나 행정 내부업무 등을 운영하는 시스템 운영은 상 등급 인증을 받도록 했다. 중 등급은 비공개 업무자료를 포함하거나 운영하는 시스템, 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 포함 또는 운영하는 시스템에 적용한다.

특히 ‘물리적 망분리’를 요건으로 제시한 상 ·중 등급과 달리 하 등급에는 ‘논리적 망분리’를 허용하기로 했다. 이를 통해 물리적 망분리 방식을 주로 따르던 외국계 CSP들도 한국 공공 클라우드 시장 진출길이 열렸다. 동시에 국내 CSP들은 외국계 기업이 공공 시장을 빼앗아 간다며 반발한 바 있다.

이번 고시 개정안은 이미 시행한 하 등급 외에 상 등급과 중 등급의 구체적인 평가 기준을 제시했다. 상 등급은 안보·외교 등 국가의 중대이익과 관련되거나 행정 내부업무 등을 운영하는 시스템의 업무 중요도와 규모를 고려해 ▲외부 네트워크 차단 ▲보안감사 로그 통합관리 ▲계정 및 접근권한 자동화 ▲보안패치 자동화 등 4개 평가항목을 신설하기로 했다.

중 등급의 경우 평가 항목 추가는 없지만 점검 내용을 명확히 하기 위해 ▲시스템 격리 ▲물리적 영역 분리 평가항목을 일부 수정했다. 기존에 간편이나 표준 인증을 받은 CSP들은 인증 유효기간까지는 중 등급으로 인정한다.

“ 공공 클라우드 시장 확대 기대”

모든 등급의 평가 기준을 공개하면서 공공 클라우드 시장 진출을 위한 CSP들의 기대감이 커지고 있다. 지난해 시행한 하 등급을 외국계가 겨냥하고 국내 CSP는 가장 비중이 큰 중 등급을 노리는 모습이 관측된다.

아마존웹서비스(AWS)와 구글클라우드, 마이크로소프트 등 일부 외국계 CSP가 하 등급 인증 절차를 밟고 있는 것으로 알려졌다. 실제로 지난해 12월 구글클라우드 서밋에서 강형준 구글클라우드코리아 사장은 “순차적으로 (CSAP 인증) 절차를 진행하고 있다”며 한국 공공시장 진출 의지를 숨기지 않았다. 여기에 알리바바클라우드를 비롯해 새 한국 지사장을 선임한 오라클도 공공 클라우드 시장 진출을 준비하고 있는 것으로 전해진다.

한국 기업들은 기대감을 내비친다. 반발이 컸던 지난해에 비해 다소 누그러진 모습이다. 하 등급의 외국계 CSP 진출에 대한 한 국내 CSP 관계자는 “상, 중 등급의 구체적인 기준이 생기면서 더 많은 기회가 열릴 것으로 본다”고 말했다. 등급제 인증을 새로 신청하고 인증이 완료되면 더 많은 공공 클라우드 사업을 따낼 수 있을 거란 기대다. 또한 기존 인증을 중 등급으로 인정하는 것도 희소식이다.

또 다른 관계자는 “하 등급에 외국 기업이 들어오긴 하지만 아직 굵직한 사업을 수주했다는 소식이 없고, 사실상 가장 (공공 클라우드 사업) 파이가 큰 것은 중 등급으로 파악하고 있다”면서 “구체적인 기준이 정해진 이상 이제는 새 인증을 따는 데 속도를 내야 할 때”라고 강조했다.

인증 절차에 대한 부담 또한 줄어든다. 과기정통부는 CSAP 인증 평가 시 의무적으로 받아야 하는 취약점 점검을 평가기관의 직접 점검뿐 아니라 외부 전문기관이 점검하는 방식도 허용하는 것으로 개선한다. 또한 동일한 서비스에 대해 2개 등급 이상의 평가를 받을 경우, 중복 평가항목은 생략하고, 수수료도 최대 50%까지 할인해 주기로 했다.

하지만 시장의 긍정적인 반응과는 별개로 부족한 예산은 풀어야 할 숙제다. 올해 행정안전부의 클라우드 네이티브 전환 예산은 758억원이다. 당초 신청했던 예산 규모인 1200억원에 한참 못 미치는 액수다.

과기정통부 관계자는 “제도가 현장에 안정적으로 정착될 수 있도록 지속적으로 모니터링하고, 운영 과정에서 추가 개선이 필요한 부분은 보완해 나갈 방침”이라고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network

보이는 것만 믿지 않겠습니다.
jhlee26@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다