서버 호스팅 운영사 같은 국내 데이터센터 업체들에게 의무 적용되는 정보보호관리체계(ISMS) 인증제를 놓고 형평성 논란이 불거질 전망이다. 담당부처 미래창조과학부와 실무를 맡은 한국인터넷진흥원(KISA)이 아마존웹서비스(AWS)와 IBM과 같은 국외 사업자의 ISMS 인증 의무에 대해 충분한 기준을 갖추지 못한 것으로 파악됐기 때문이다.
정부는 국내 정보통신사업자 가운데 ISMS 인증 의무대상자를 지정할 때 AWS와 IBM처럼 서버 호스팅 업체들과 경쟁하는 클라우드 서비스를 제공하는 경우, 그리고 국내에 자체 인프라를 두지 않고 국외 설비를 통해 서비스만 제공하는 경우 행정적인 사각지대가 발생한다는 점을 인정하고 있다.
ISMS 인증은 KISA가 국내 사업자의 정보보호 조치 및 대응 수준을 심사해 관련 체계와 설비를 갖췄다고 인정한 곳에 부여된다. 지난해부터 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법') 47조 제2항에 따라 특정한 형태의 사업자 또는 일정 규모 이상의 서비스를 제공하는 정보통신사업자에게 인증 의무가 생겼다.
의무적으로 ISMS 인증을 받아야 하는 사업자는 인터넷접속이나 인터넷전화 서비스를 제공하는 ISP, 서버 호스팅이나 코로케이션을 제공하는 IDC, 인터넷쇼핑몰이나 포털과 게임 등 사업을 갖춘 기업의 전년도 해당부문 매출 100억원 또는 이용자수 100만명 이상인 사업자 등이다. 미인증시 이들에겐 1천만원 이하 과태료가 부과된다.
반면 이미 AWS와 IBM은 국내에 클라우드 인프라 서비스를 공급하면서 수익을 거두고 있는데, 이들에겐 ISMS 인증 의무가 없다. KISA 측은 이들도 정보통신망법을 적용받는 '정보통신사업자'에 해당하지만, 인증 심사를 받을 수 있는 '정보통신설비' 즉 인프라를 국내에 두지 않았기에 의무대상자로 지정하지 않았다는 입장을 밝혔다. (☞관련기사)
지난해 알려진 AWS와 IBM의 국내 인프라 관련 계획은 ISMS 인증 의무 발생 여부의 주요 변수다. 한국IBM은 가급적 올상반기에 자체 데이터센터로 클라우드서비스 '소프트레이어'를 공급하는 방침을 세운 걸로 알려졌다. (☞관련기사) AWS도 서비스 레이턴시 이슈 해소를 위해 국내 통신사 IDC를 임대해 자체 인프라를 구축할 예정이다. (☞관련기사)
KISA 지상호 정보보호관리팀장은 (AWS와 IBM이 이런 자체 인프라 운영 계획을 실행에 옮길 경우) ISMS 인증 의무대상자로 지정될 수 있고, 대상 업체가 국내 인프라를 확보하는 방식은 의무 지정 여부에 별 영향을 안 준다며 데이터센터를 세우든 IDC를 빌리든, 자체 서비스 운영 인프라를 갖추면 의무대상자로 검토될 수 있다고 말했다.
현재 AWS나 IBM에서 제공하는 클라우드 서비스형인프라(IaaS)는 단순한 온라인 데이터 저장소나 파일공유 시스템이 아니다. 국내 IDC업체들이 운영, 제공하는 서버 호스팅과 기능, 용도 면에서 동일하거나 사실상 더 다양한 범주를 아우른다고 볼 여지가 크다. 이런 점에서 해당 클라우드 서비스 업체들은 IDC업체로 묶이는 게 자연스럽지만 정부 판단은 달랐다.
KISA 측은 AWS나 IBM 같은 회사의 클라우드 서비스가 국내 설비를 통해 운영되더라도 ISMS 인증 의무 지정을 위해 해당부문의 국내 매출 규모같은 다른 요소까지 검토해야 한다는 입장이다. 이는 '(AWS, IBM같은 회사의) 클라우드서비스가 정보통신망법의 ISP나 IDC 분류에 해당하지 않는다'는 미래부와 KISA의 판단에 따른 것이다.
즉 AWS나 IBM은 전년도 해당부문 매출 100억원 또는 전년도 4분기 중 일평균 이용자수가 100만명 이상인 서비스를 운영할 경우에만 ISMS 인증 의무 대상이 된다. 이는 서버 호스팅이나 코로케이션이라는 용어를 내건 국내 사업자들이 IDC로 분류돼 사업 실적상의 차등 없이 ISMS 인증 의무를 적용받는 상황과 대조된다.
IDC로 분류되는 국내 업체들은 자체 데이터센터를 한국에서 운영한다는 이유만으로 ISMS 인증 의무에 따라야 하고, 이런 의무가 적용될지 불분명한 AWS나 IBM과 국내 데이터센터 인프라 시장이라는 범주 안에서 경쟁해야 하는 처지다.
특히 연매출 100억원 미만의 영세 IDC업체 입장에선 AWS나 IBM이 국내 인프라를 갖춰 인증 의무대상자로 검토되더라도 자신들보다 느슨한 기준을 적용받는다는 사실을 논리적으로 받아들이기 어려울 것으로 보인다.
현행법상 다소 유동적인 ISMS 인증 의무대상 지정 기준이 그 자체로 형평성 논란의 소지를 품고 있는 이유다.
또 다른 문제가 있다. KISA가 올해 자체 인프라를 갖춘 AWS나 IBM의 ISMS 인증 의무 여부를 즉각 검토해 이런 저런 관련 기준에 맞다고 판단했더라도, 인증 의무를 확정적으로 부과할 수는 없다는 점이다. 관련 규정상 AWS나 IBM처럼 국내 인프라를 갖추기 전부터 국내 서비스의 매출과 이용자 실적을 갖고 있는 사업자에게 인증 의무를 부과할 경우 논쟁의 여지가 남아서다.
즉, 일단 KISA 측은 올해 AWS와 IBM이 국내 인프라를 갖추면 이들의 지난해 국내 매출과 이용자 실적을 잠정 추산해 인증 의무대상자임을 통보할 수 있다. 하지만 AWS와 IBM 측에서 '지난해 국내 서비스 매출과 이용자 실적은 국내 인프라를 통해 발생한 게 아니므로 의무 부과는 부당하다'는 논리를 펼 때 이를 무마할만한 근거 조항을 내세우긴 어려운 실정이다.
관련기사
- 아마존-IBM도 ISMS 인증 받게될까?2015.01.06
- 내년초 정보보호관리체계 인증기관 추가지정2015.01.06
- "국내 ISMS, 분야별 통제 항목 추가 필요"2015.01.06
- ISMS 인증 의무대상자 확대 법안 발의2015.01.06
지 팀장도 이같은 지적에 대해 ISMS 인증 의무대상자 지정과 관련된 정보통신망법상 조항들이 실제 산업 현황을 모두 반영할 수 있도록 명확하게 돼 있는 것은 아니라 그런 측면이 있다며 (AWS와 IBM의 한국 클라우드 서비스 인프라 구축 이후) 올해 이들 사업자가 바로 ISMS 인증 의무대상자로 지정될 것이라 확답하긴 어렵다고 말했다.
미래창조과학부 정보보호정책과 이지형 사무관은 이같은 상황에 대해 클라우드 서비스라는 개념 자체가 아직 법에서 명확히 규정돼 있지 않았고, 법이라는 개념의 특성상 현실에서 해석의 여지가 발생하는 것은 맞다면서 향후 (정보통신산업과같은) 담당 부서에서 클라우드 같은 개념이 명확히 정의될 경우 보완될 수 있을 것이라고 했다.