[컴퓨터월드] 말 많고 탈 많았던 클라우드 보안인증(CSAP) 등급제가 전면 시행된다. 그간 지지부진했던 공공부문 클라우드 전환에도 한층 더 속도가 붙을 것으로 예상된다. 다만 이제 하(下) 등급 시스템에 대한 해외 CSP들의 공공 시장 진입이 확실시된다는 점과, 해외 CSP들이 하 등급을 넘어 중(中) 등급에 해당하는 클라우드 전환 수요까지 넘보면서 국내 업체들은 여전히 근심을 놓지 못하고 있다.

지난달 과기정통부는 CSAP 등급제의 상·중 등급 평가 기준이 반영된 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부 개정안을 행정예고했다. 개정안에 따르면, 상 등급은 외부 네트워크 차단과 보안감사 로그 통합관리 등의 항목이 신설돼 평가기준이 강화됐다. 중 등급은 현행 SaaS 표준수준을 유지한다. 또한 기존에 인증받은 CSAP 등급은 유효기간 내에서는 중 등급으로 인정한다는 방침이다.

하지만 예견됐듯이 외국계 사업자들은 하 등급 개방에 만족하지 않고 그 이상을 바라고 있다.

한 국내 클라우드 업계 관계자는 “하 등급 인증에는 AWS, 구글 클라우드, MS 등 글로벌 3대 CSP를 비롯한 복수 사업자들이 지난해 10월에 신청한 것으로 알려진다. 인증 절차 기간이 보통 6개월 내외로 걸리는 점을 고려하면, 올 상반기 안에는 하 등급 인증 업체들이 속속 등장할 것으로 예상된다”면서 “그런데 일부 외국계 사업자들로부터 하 등급 획득 후 자연스럽게 중 등급까지 개방하려는 움직임이 보인다. 현재 중 등급 평가기준의 논리적 망분리를 서버에 대한 인프라까지 허용하기를 바라는 등 다소 욕심을 부리고 있다”고 말했다.

그간 국내 CSP들은 중 등급 시스템의 클라우드 전환사업을 수행할 수 있는 자격을 획득하는 데 많은 노력을 해왔다. 과기정통부 주도의 중 등급 실증사업을 통해 서버에 대한 인프라는 물리적으로, 네트워크는 논리적으로 분리하는 방식으로 보안성을 검증했고, 관리 인력을 상주시켜 후속 처리 환경도 마련했다.

국내 CSP들은 대정부 압박을 통해 손쉽게 CSAP를 개편해 공공 시장에 진출하게 된 해외 CSP들에 역차별을 느끼고 있다. 심지어 해외 CSP들은 하 등급 인증 과정에서조차 많은 불만을 제기하고 있으며, 국정원의 국내 보안적합성(CC) 준수 요구에도 국제 표준 CC를 따라야 한다고 주장하고 있다. 또한 보안만을 강조하는 것은 디지털 전환 시대의 공공 혁신을 막는 일이라는 논리를 펴며 공공시장의 문턱이 더욱 낮아지기를 요구하고 있다.

민간 클라우드 시장을 독과점하고 있는 외국 기업에게 공공 시장까지 문을 열어준 상황에서 중 등급 시스템까지 허용하는 것은 그간의 불만을 참고 공공사업을 추진해 온 국내 기업들에게 또다시 피해를 입히는 일이다. 국내 클라우드 업계의 버팀목 역할을 하는 곳은 공공 시장이다. 정부는 국내 CSP들이 더 이상 우려를 키우지 않도록 명확한 기준을 세워야 한다. 해외 사업자들 역시 불만만 내세우기보다는 이제 걸음마를 뗀 현행 기준을 준수하고, 급진적인 중 등급 개방 요구는 당분간은 자제하는 게 맞지 않을까.