클라우드산업협회 "보안인증 범위 명확히하고 하 등급 실증해야"

정부 고시 개정안 행정예고 대응 CSP 8곳 참석 긴급간담회 개최

디지털경제입력 :2023/01/05 17:27    수정: 2023/01/05 17:33

정부가 클라우드 보안인증(CSAP) 등급제를 상·중·하 3단계로 도입하기로 한데 대해 한국클라우드산업협회(회장 윤동식 KT클라우드 대표)가 5일 긴급 간담회를 열고 상중하 등급의 동시 진행과 하 등급의 경우 실증 진행을 요청했다. 또 적용 범위 명확화와 공론의 장 마련이 필요하다고 함께 제안했다. 이날 간담회에는 국내 대·중소 CSP 기업 8곳의 관계자들이 참석했다.

앞서 과기정통부는 클라우드 보안인증 등급제 도입을 위한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 행정예고, 업계 등의 의견 수렴에 들어갔다. 행정예고 시한은 이달 18일까지다.

개정안에 따르면, 국가·공공기관 등 시스템을 중요도 기준으로 상·중·하 3등급으로 나누고, 등급별로 다른 클라우드 보안인증 기준을 적용한다. '하' 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, '중' 등급은 비공개 업무자료를 포함하는 시스템, '상' 등급은 민감한 정보를 포함하거나 행정 내부업무를 운영하는 시스템이다. '하' 등급은 고시 공포 이후 시행된다. '중'과 '상' 등급은 안전성을 고려해 디지털플랫폼정부위원회와 관계부처의 공동 실증 검증을 거쳐 세부 평가기준을 보완해 내년 안에 시행할 예정이다.

이 등급별로 적용하는 보안인증 기준이 다르다. 가장 낮은 '하' 등급 시스템은 기존의 민간‧공공 영역간 '물리적 망 분리' 요건을 완화해 '논리적 망 분리'를 허용한다. '논리적 망분리'는 가상공간에서 망 분리를 해도 된다는 것으로, AWS나 마이크로소프트(MS) 같은 외국계 CSP가 공공시장에 진입할 수 있게 된다. 국내 CSP들이 개정안에 반발하는 이유다.

한국클라우드산업협회가 클라우드 보안인증 등급제에 대한 긴급 간담회를 CSP 회원사 8곳이 참석한 가운데 5일 개최했다.

이날 회의에서 국내 주요 CSP 기업들은 ▲클라우드 보안인증 상·중·하등급 동시 시행 ▲클라우드 보안인증 전 등급에 대한 시범 및 실증 진행 ▲클라우드 보인인증 적용범위 명확화 ▲유관부처 및 사업자가 참여하는 공론의 장 마련 필요 등을 요청했다.

먼저 클라우드 보안인증 상·중·하 등급 동시 시행에 대해서는 "상·중·하 등급의 형평성 있는 진행이 필요하다"는 입장이다. 상·중 등급은 실증을 진행하면서 하 등급을 먼저 시행하는 것은 역차별이라는 점을 강조했다. 또 하 등급에 개인정보 뿐 아니라 신용정보를 포함하는 것도 제외가 필요하다고 지적했다.

둘째, 클라우드 보안인증 전 등급에 대한 실증 필요성도 제기했다. 등급제 추진 및 시행이 기술 및 보안 측면에서 어떤 결과를 초래할지 담보할 수 없는 상황이므로 실증에 굳이 하 등급을 제외할 필요가 없다는 것이다. 또 하 등급도 부처 및 공공기관 데이터에 대한 안전성이 담보 돼야 하기 때문에 실증이 필요하다고 덧붙였다. 참석자들은 "클라우드 보안인증은 사업자격이 아닌 보안 인증이므로 상·중·하 등급의 안정성을 파악하고 시행하는 것이 클라우드 보안인증 등급제 도입 취지에 부합한다"고 밝혔다.

셋째, 클라우드 보안인증 적용 범위의 명확화도 함께 요청했다. 공공 클라우드 시장 수요가 불확실한 상황에서 등급제 추진에 따른 상·중·하 등급별 시장 비율에 대한 세부 정보 및 등급제 추진 세부 계획을 발표해야 한다는 것이다. 기존 클라우드 보안인증의 사업적 이슈는 클라우드 보안인증을 받은 클라우드 서비스가 어디까지 적용되는 지 알 수 없고, 또 등급 세분화가 되면 적용 범위에 대한 모호성이 해소될 수 있을 것으로 예상했는데, 등급제 추진에 대한 행정예고가 발표됐음에도 적용 범위가 여전히 불확실하다는 것이다.

의견수렴 기간을 거쳐 고시 공표 후 즉시 시행인데, 행정예고가 됐음에도 사업자가 준비할 수 있는 부분이 없는 것이 산업계의 어려움이라고 덧붙였다.

마지막으로 유관부처 및 사업자가 참여하는 공론의 장(위원회 및 공청회 등)도 필요하다고 밝혔다. 1월 하순 클라우드 고시 개정 발령 및 국가정보보안 기본지침 시행 예정이므로 과기정통부 뿐 아니라 유관부처인 행정안전부, 국가정보원과 사업자가 참여, 클라우드 보안인증과 국가정보보안 기본지침에 대해 논의하는 위원회나 협의체를 구성, 충분한 의견 수렴을 해야 한다는 것이다.

한편 한국클라우드산업협회는 5일 간담회에 이어 오는 10일에는 SaaS와 PaaS, MSP 회원사들이 주를 이루는 간담회를 개최할 예정이다.