[컴퓨터월드] 국내 클라우드 기업들의 반발을 샀던 클라우드 보안인증(CSAP) 등급제가 새해 본격 시행된다. 지난해 국내 클라우드 기업들은 외국계 기업의 공공 클라우드 시장 무혈입성 및 국가 데이터 주권 약화를 이유로 시스템 중요도에 따라 CSAP를 상, 중, 하 등급으로 구분하는 것에 강력히 반대 목소리를 내왔다. 이에 과기정통부는 “보류하겠다”는 입장이었지만 2022년 12월 29일 ‘클라우드컴퓨팅 서비스 보안인증에 관한 고시’ 개정안을 행정예고하며 결국 강행 의지를 알렸다. 국내 기업들의 반대 목소리에도 정면 돌파를 선언한 것이다.

국내 CSP에 등급제 이유 및 이점 설명 못해

지난해 국내 클라우드 업계는 CSAP 등급제 개편이 수면 위로 떠오르자 꾸준히 우려의 시선을 보내왔다. 그도 그럴 것이 국내 CSP들은 지난 2014년부터 공공 클라우드 시장이 개화할 것을 예상하고 정부가 제시한 규제 사항을 충족하고자 적게는 수십억 원부터 많게는 수백억 원까지 보안에 집중적으로 투자를 해온 상황이었다. 그런데 정부가 아무런 투자도, 노력도 없었던 해외 CSP들에게 공공시장을 개방하는 결과를 가져올 수 있는 CSAP 등급제 개편을 추진하자 불만이 폭발한 것이다.

특히 과기정통부가 CSAP 등급제의 이유와 이점을 국내 CSP에게 제대로 설명하지 못하면서 국내 클라우드 업계는 정부가 개편을 일방향적으로 강행하고 있다고 주장한다. 실제로 과기정통부, 국가정보원, 행정안전부 등 사안과 이해관계가 있는 정부 부처는 CSAP 등급제 추진 이유와 이점을 설명하고자 수차례 회의를 열었다. 하지만 단 한 번도 국내 기업들을 이해시킬 수 없었다.

이와 관련 지난해 7월 8일 과기정통부가 소집한 회의에 참여한 한 기업의 관계자는 “이날 CSAP를 완화, 개편하는 이유가 무엇인가에 대한 CSP들의 질문이 빗발쳤지만, 과기정통부는 이에 대해 명확한 답을 하지 못했다. 기업들의 불만이 쏟아지자 당시 과기정통부의 A 국장도 ‘과기정통부 역시 CSAP 등급제를 하는 이유를 모르겠다. 위에서 지시가 내려와서 한다’고 말했을 정도다”라고 당시 분위기를 전했다.

업계에 따르면, 과기정통부는 국내 CSP들을 소집한 회의에서 단체 항의에 직면하자 지난해 12월 중순 기업을 한 곳씩 찾아 각개격파를 시도한 것으로 알려진다. 한 기업의 관계자는 “이달 중순 과기정통부가 국내 주요 CSP들을 직접 한 곳씩 찾아갔던 것으로 알고 있다. 정부 관계자가 직접 방문하는 자리에서 불만 사항을 포함, 하고 싶은 얘기를 할 수 있는 기업은 없을 것이다. 결국 강요받은 셈”이라고 꼬집었다.

끝내 국내 CSP들을 설득하지 못하고 비판만 들었던 과기정통부는 지난달 CSAP 등급제를 보류하겠다고 선언했다. 하지만 결국 12월 말 CSAP 등급제를 강행한다는 ‘클라우드컴퓨팅 서비스 보안인증에 관한 고시’ 개정안을 행정예고하며 국내 클라우드 기업들의 따가운 눈총을 받고 있다.

이에 대해 한 CSP 관계자는 “이런 식으로 강행할 것이었다면, 최소 8차례 이상의 소집회의를 한 이유와 목소리를 듣겠다고 공개적으로 밝힌 이유를 모르겠다. 국정감사 시기 비판 포화가 쏟아질 때 잠잠히 있다가 소강상태에 접어들자 기업들의 얘기를 듣지도, 부처 간 협의도 없이 강행하는 것은 국내 클라우드 생태계를 전혀 고려하지 않고 있다는 점을 보여준다”고 날 세워 비판했다.

시스템 중요도 기준 하 등급 선제 개방…중·상 등급 실증·검증

과기정통부가 2022년 12월 29일 공개한 ‘클라우드컴퓨팅 서비스 보안인증에 관한 고시’ 개정안은 등급별로 차등화된 보안인증 기준을 마련할 수 있도록 클라우드법 하위 고시를 개정하겠다는 것으로, 개인정보가 포함되지 않은 하 등급 시스템에 한정해 민간과 공공 서비스 영역 간 ‘논리적 망분리’를 허용하는 방향을 유지하겠다는 방침이다.

구체적으로 하 등급 시스템에 대한 클라우드 보안인증은 고시 공포 이후 시행하고, 상·중 등급 시스템은 안전성, 활용성 등을 고려해 디지털플랫폼정부위원회와 관계부처 공동 실증·검증을 통해 세부 평가 기준을 보완한 뒤, 2023년 내(미정) 시행할 예정이다.

특히 상, 중, 하를 구분하는 인증 등급 분류 기준으로 ‘시스템 중요도’를 꼽은 점이 문제로 지적된다. 과기부 고시 개정안에 따르면, 민간 클라우드를 이용하고자 하는 국가·공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상·중·하 등급으로 자체 분류한다. 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 중 등급은 비공개 업무자료를 포함 또는 운영하는 시스템, 상 등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류할 계획이다. 클라우드 시장 신규 창출과 공공 서비스의 품질 제고를 위해 행정 내 부업무 운영 시스템은 시스템 중요도에 따라 중 등급으로도 분류한다.

하지만 업계는 정부의 이 같은 등급 분류 기준에 대해서도 의문을 표하고 있다. 한 기업의 관계자는 “현재 클라우드 전환사업에 참여하고 있다. 실제로 수행하는 대다수의 시스템이 대민 서비스다. 하지만 CSAP 등급제에서는 달라져야 한다고 본다. 전환사업 수행 예시를 보면 개별 서비스로 구분할 때 기상청의 시스템은 하로 구분된다. 하지만 실제로 전환사업을 해보면 상당히 민감한 데이터가 많다. 이를 ‘하’ 등급으로 지정해서는 안 된다. 이 같은 측면에서 클라우드 전환사업과 같이 시스템 중요도로 등급을 분류하면 안 된다는 얘기다. 그 안에 담긴 데이터의 민감도를 종합적으로 판단하는 것이 옳다”고 말하며 시스템 중요도를 기준으로 잡은 것에 대해 문제점을 지적했다.

한 SW기업 대표도 이에 대해 “데이터 민감도가 기준이 돼야 한다고 생각한다. 우리는 민간을 위주의 비즈니스를 하고 있는데, 고객들은 인하우스에서 구축하기를 원하는 경우가 많다. 자칫 외부에 공개되면 안 되는 중요한 데이터가 많다는 이유에서다. 그렇다는 것은 그들이 운영하던 시스템보다도 상위 개념인 데이터에 따라 보안에 대한 기준을 판가름한다는 의미다. 공공의 경우 데이터의 민감도와 중요도가 타 산업군에 비해 상당히 높다. 기준은 시스템이 아닌 데이터의 민감도가 돼야 한다”고 동감했다.

상 등급 평가 기준 강화, 중 등급 현행 유지, 하 등급 완화

과기정통부가 제시한 클라우드 서비스 보안인증 평가 기준에 따르면, 기존 평가항목 기준으로 상 등급의 평가 기준은 보완·강화하고, 중 등급 평가 기준은 현행수준을 유지하며, 하 등급 평가 기준은 합리적으로 완화한다.

구체적으로 하 등급 시스템에 대해서는 국내 서비스형 소프트웨어(SaaS) 사업자가 공공 시장에 신규 진입할 수 있도록 기존의 민간·공공 영역 간 ‘물리적 분리’ 요건을 완화해 ‘논리적 분리’를 허용한다. 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건도 평가항목에 추가한다.

중 등급 시스템은 행정 내부 업무 운영 시스템도 중요도에 따라 중등급으로 분류할 수 있게 됨에 따라 보안성을 담보한 네트워크 접근을 허용하고 내·외부망 접근 활용 등에 대한 실증·검증을 통해 세부 평가 기준을 보완한다. 자세히는 IaaS, SaaS 표준, SaaS 간편에 해당하는 유형에 대해서도 업계 애로사항을 반영해 상벌 규정 등 불필요한 평가항목은 통폐합 및 삭제했다. 클라우드 멀티테넌트 특성(다중이용자 사용)을 고려해 이용기관별 테이블 분리 기준을 완화한다.

하지만 이에 대해 국내 클라우드 업계는 결국 하 등급 개방 이전 상·중 등급에 해당하는 시스템 전환 수요를 보장해달라는 목소리를 외면했다고 주장한다. 한 관계자는 “2022년 국내 CSP들이 꾸준히 목소리 냈던 것 중 하나는 하 등급 개방 이전, 중 등급과 상 등급에 해당하는 전환 대상을 확실하게 확보해달라는 것이었다. 하지만 결국 하 등급은 개방하고, 중, 상 등급 시스템을 보장하지 않았다”면서, “하 등급에 참여하게 된 AWS, MS, 구글 클라우드, 텐센트 클라우드 등이 중 등급까지 요구하지 말라는 법은 없다. 실제로 한 글로벌 기업은 중 등급까지 요구하고자 별도의 법인까지 설립한 것으로 알려진다”고 토로했다.

또한 과기정통부의 하 등급 개방은 국가 데이터 주권을 약화시킬 것으로 예상된다. 과기정통부는 하 등급의 논리적 망분리를 허용하되 물리적 위치 즉 데이터가 저장되는 리전은 국내로 한정한다고 밝히고 있다. 그러나 업계에 따르면 해외 기업들의 리전이 국내에 이미 있고 운영되는 데이터도 국내 리전에 저장될 수는 있지만, 문제는 백업 데이터의 저장 위치가 해외 리전이 될 것이라는 점이다. 한 관계자는 “통상 해외 CSP는 국내에 리전을 운영하는 동시에 해외 리전에 백업을 구축하는 것으로 알고 있다”고 말했다.

한편, 과기정통부는 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 2022년 12월 29일부터 2023년 1월 18일까지 행정예고할 예정이다. 행정예고 기간 동안 과기정통부는 업계, 관계기관 등이 참여하는 간담회 등 개최를 통해 각계 의견을 수렴한다는 계획이다.