공공영역에 민간 클라우드를 이용할 수 있게 되면서, 3단계로 분류된 클라우드 보안인증(CSAP) 등급제를 놓고 업계에서는 상·중·하 등급 모두 동시에 시행돼야 한다는 목소리가 나왔다.
또한 클라우드 업계는 CSAP 등급제 추진에 대한 행정예고가 발표됐지만, 여전히 적용 범위가 불확실하며 사업자가 이에 준비하기 어려운 부분이 있다며 협의체 구성을 통한 충분한 의견 수렴이 필요하다고 밝혔다.
■ 협회 "하등급 먼저 시행은 역차별"…과기정통부 "의견 수렴 예정, 간담회 날짜는 미정"
한국클라우드산업협회는 5일 국내 대·중소 클라우드 서비스 제공사(CSP)들과 CSAP 등급제 고시 개정안에 대한 논의를 진행했다.
협회는 이날 회의 결과 ▲클라우드 보안인증 상·중·하 등급 동시 시행 ▲클라우드 보안인증 전 등급에 대한 시범·실증 진행 ▲클라우드 보안 인증 적용범위 명확화 ▲유관부처 및 사업자가 참여하는 공론의 장 마련이 필요하다고 밝혔다.
과학기술정보통신부는 시스템 중요도에 따라 시스템을 상·중·하 등급으로 분류해, 가장 중요도가 낮은 하등급 시스템 먼저 시행할 것이라고 밝혔다.
하등급 시스템은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템이다. 하등급 시스템에 대해서는 기존의 민간·공공 영역간 '물리적 분리'요건을 완화해 '논리적 분리'를 허용한다.
이에 협회는 "상·중·하 등급의 형평성 있는 진행이 필요하다"며 "상·중등급은 실증을 진행하면서 하등급을 먼저 시행하는 부분은 역차별이며, 하등급에 개인정보뿐 아니라 신용정보를 포함하는 시스템도 제외가 필요하다"고 말했다.
협회는 "보안인증 기준을 완화한 하등급 시스템을 먼저 열어버리면 기존에 정부에서 요구하던 높은 수준에 맞춰 보안 인증을 준비해왔던 국내 기업들이 낮은 서비스 가격과 물량 공세로 들어오는 글로벌 사업자와 경쟁해야 해 국내 클라우드 산업이 고사될 수 있다는 우려가 있다"고 설명했다.
또한 클라우드 보안인증 전등급에 대한 실증 필요성도 제기했다. 현재는 하등급을 제외한 상·중등급 시스템에 대해서만 실증이 진행된다.
협회는 "등급제 추진 및 시행이 기술 및 보안 측면에서 어떤 결과를 초래할지 담보할 수 없는 상황이므로, 실증에서 굳이 하등급을 제외할 필요는 없다"며 "하등급 또한 부처 및 공공기관 데이터에 대한 안정성이 담보돼야 하기 때문에 실증이 필요하다"고 말했다.
등급제 추진에 대한 행정예고가 발표되었음에도 불구하고 클라우드 보안인증 적용 범위가 아직도 불명확하다는 지적도 나왔다. 협회는 "공공 클라우드 시장의 수요가 불확실한 상황에서 등급제 추진에 따른 상·중·하 등급별 시장 비율에 대한 세부 정보와 등급제 추진 세부 계획을 발표해야 한다"고 밝혔다.
과기정통부는 CSAP 등급제 도입을 위한 '클라우드컴퓨팅 서비스 보안인증에 관한 고시' 개정안을 지난달 29일부터 오는 18일까지 행정예고했다. 과기정통부는 행정예고 기간 각계 의견을 수렴해, 이를 최종 고시 개정안에 반영해 1월 중 공포할 예정이다.
이에 맞춰 이달 말에는 세부적인 클라우드 시스템 분류 기준이 담기는 '국가정보보안기본지침'도 개정될 예정이다.
협회는 "행정예고가 되었음에도 사업자가 준비할 수 있는 부분이 없는 것이 산업계의 어려움"이라며 "과기정통부뿐만 아니라 유관부처인 행정안전부, 국가정보원과 사업자가 참여해 클라우드 보안인증과 국가정보보안기본지침에 대해 논의하는 위원회 또는 협의체 구성을 통해 충분한 의견 수렴이 필요하다"고 밝혔다.
이러한 목소리에 과기정통부는 "협회 의견은 확인했다"며 "의견 수렴을 하면서 업계와 회의를 진행할 예정이며, 아직 날짜는 정해지지 않았다"고 말했다.
한편, 한국클라우드산업협회는 클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중이며, 기업들의 기술적·정책적으로 세밀한 검토 이후 의견을 제출할 예정이다.
이와 더불어 오는 10일 국내기업 회원사 대상으로 간담회 개최를 통해 실질적 공공시장 참여 확대 측면 등 고시 개정안에 대한 의견을 수렴할 예정이라고 밝혔다.
