양희동 교수 "CSAP 등급제, 논리적 망분리 수용해야"

"클라우드 보안인증(CSAP) 등급제는 그 자체를 더 가다듬어야 한다. 글로벌 기업에서 요구하는 논리적 망분리는 수용해야 한다고 본다. CSAP 등급제 전환에 따른 영향을 치밀하게 고민하고, 그 자체의 주관성을 엄정하게 다듬고, 여러 예외사항을 어떻게 마련할 것이냐 논의해야 한다."

양희동 한국경영정보학회 회장(이화여자대학교 교수)은 15일 한국소프트웨어산업협회가 주관한 'SaaS 서밋 2022' 컨퍼런스 기조연설에서 이같이 밝혔다.

양희동 교수는 '클라우드 보안인증(CSAP) 등급제, 기회인가? 위험인가?'를 주제로 현재 국내 클라우드 산업계 최대 이슈를 점검하고 개선 방안을 제시했다.

CSAP는 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급하기 위해 시행되는 클라우드 보안 인증제도다. 공공기관은 CSAP 인증을 획득한 민간 클라우드만 이용할 수 있다. 때문에 클라우드 서비스 제공업체 입장에서 공공 부문 시장에 진출하기 위해 CSAP 인증 획득이 필수적이다. 현재 민간 SaaS 업체는 공공 분야에 서비스를 공급하기 위해 CSAP 인증을 획득한 IaaS 사업자를 이용해야 한다.

CSAP를 획득하려면 국내에 물리적으로 공공 전용 공간을 마련해 두고 인증에서 요구하는 물리적 망분리, CC인증 등의 요건을 충족시켜야 한다.

현 정부는 CSAP 제도를 개편해 등급제로 전환할 계획이다. 공공 시스템의 데이터를 보안 민감도에 따라 상, 중, 하 등의 등급으로 구분하고, 하 등급의 경우 CSAP를 받지 않은 클라우드 서비스도 활용할 수 있도록 하는 것이다.

이에 국내 클라우드 인프라 서비스 업계가 반발하고 있다. 글로벌 기업은 국제 표준과 논리적 망분리로 CSAP에서 요구하는 수준의 보안성을 제공할 수 있다는 입장이다.

양희동 교수는 "국가정보원에서 추진하는 등급제는 물리적 망분리 요건을 완화해 데이터 저장 위치를 상관하지 않겠다는 것"이라며 "이 내용은 이미 디지털플랫폼정부의 구체적 계획안에 언급된 부분으로 국제 통상 문제뿐 아니라 현 정권의 강한 기조 중 하나로 이해해야 한다"고 말했다.

양 교수는 "물리적 망분리는 사용자 기업에게 별로 환영받지 못하고 있다"며 "작년 4월 발표된 보고서에 의하면, 망분리가 생산성을 50% 떨어뜨린다고 하기도 하며, 물리적 망분리를 강하게 주장해온 정부의 입장에 일관성이 결여돼왔다"고 설명했다.

그는 "우크라이나와 러시아 전쟁에서 우크라이나 정부는 데이터센터 파괴에도 정부 데이터를 외부로 이관해 국가비상사태에서 살아남을 수 있었다"며 "논리적 망분리는 국가 비상사태에 유리하고, 물리적 망분리를 요구하는 국내 기업이 외국으로 진출할 때 역공의 논리로 작용할 수 있다"고 강조했다.

양희동 교수는 오히려 등급제 전환에서 논리적 망분리를 수용하는 대신 글로벌 기업과 미국 정부에 역제안을 하는 전략을 짜야 한다고 조언했다.

그는 "글로벌 업체에 시장을 열어주고 당당히 데이터 주권을 요구하고, 사고 발생 시 징벌적 손해배상제로 강력히 책임을 요구해야 한다"며 "국제 통상 교섭 노력과 함께 국제 표준을 주도하는 것을 병행해야 한다"고 밝혔다.

양 교수는 보안 등급제 개편과 더불어 국내 SaaS 산업 강화를 위한 규제 개선을 병행할 것을 정부에 요구했다.

관련기사

그는 "궁극적인 CSAP 등급제의 취지는 국내 SaaS 기업의 경쟁력 강화란 것을 잊지 말아야 한다"며 "CSAP 제도로 부족하고, 정부는 현재의 보이지 않는 여러 숨은 규제를 완화하는 노력을 해야 한다"고 말했다.

이종호 과학기술정보통신부 장관은 SaaS 서밋 2022 축사에서 "클라우드 산업은 SaaS 중심으로 변화하는 새 전기를 맞고 있다"며 "정부는 핵심 국정과제인 모든 데이터가 연결되는 디지털플랫폼정부를 구현하고자 민간 클라우드서 제공하는 SaaS를 적극 활용해 정부의 디지털 혁신을 촉발하고 동시에 SaaS 생태계 발전을 획기적으로 이뤄낼 것"이라고 밝혔다.