클라우드 보안인증(CSAP) 등급제 도입을 앞두고, 업계에서는 여전히 충분한 의견 수렴이 이뤄지지 않았으며 추진 속도가 다소 빠르다는 목소리가 나왔다. 서비스형 인프라(IaaS)·서비스형 소프트웨어(SaaS)·서비스형 플랫폼(PaaS) 사업자마다 CSAP 등급제에 대한 세부적인 의견은 달랐지만, 대체로 하등급 시스템에서 보안성이 담보될 만한 충분한 방안이 마련되지 않았다는 데는 한 목소리로 우려를 나타냈다.
더불어민주당 윤영찬 국회의원은 16일 국회 의원회관에서 '바람직한 클라우드 생태계 발전방안 토론회'를 개최했다. 이날 토론회는 나종회 광주대 컴퓨터공학과 교수가 발제를 맡았으며, 나연묵 단국대 SW융합대학 컴퓨터공학과 교수가 좌장을 맡았다.
토론회에는 윤대균 아주대 소프트웨어학과 교수, 윤동식 한국클라우드산업협회장, 기정수 NHN클라우드 상무, 김준범 네이버클라우드 이사, 김병철 스마일서브 대표이사, 김홍준 나무기술 상무, 엄열 과학기술정보통신부 인공지능기반국 국장, 서보람 행정안전부 디지털정부국 국장 등이 참석했다.
윤영찬 국회의원은 "정부는 충분한 논의를 바탕으로 클라우드 보안인증(CSAP) 개편을 진행하겠다고 했지만, 최근 국내 클라우드업계의 충분한 의견 수렴 없이 CSAP 제도개선이 강행되고 있어 매우 우려되는 상황"이라며 "현재 우리 정부는 디지털 정책을 종합적으로 끌고 갈 컨트롤 타워가 없어 부처 간 협의가 제대로 이뤄지기 어려운 구조"라고 말했다.
윤 의원은 "중, 상등급을 개방할 경우, 중앙부처는 국정원이 있어 문제가 없겠지만 자체 운영능력이 전혀 없는 그 외의 공공기관은 구체적인 기준이 제시돼야 하는데 현재 이에 대한 대책이 전혀 마련돼 있지 않다"며 "우리나라 클라우드 산업 생태계를 발전시키고 올바른 방향으로 이끌기 위해서는 등급을 분리하되 중, 상등급에 대한 개방 문제를 먼저 해결한 후 하등급 논리적 망분리를 고려해도 늦지 않다"고 말했다.
한국클라우드산업협회 윤동식 회장은 "AWS의 어마무시한 큰 성장에는 미국 중앙정보국(CIA), 국방부와 해군이 아마존의 클라우드를 쓰기 시작한 게 밑바탕이 됐다. 이들이 썼다는 것이 신뢰성을 주니까 이후에 민간에서 봇물 터지듯이 시장을 장악했다"며 "중앙 부처도 클라우드를 쓸 수 있는 시장이 돼야 한다"고 강조했다.
이어 "하등급을 먼저 오픈하는 것에 대해 반대하지만, 피치 못하게 진행한다면 전제조건이 있어야 한다"며 "간단한 통계 데이터라도 그대로 외부에 노출돼 서버 내용이 바뀐다면 그 자체가 리스크이기 때문에 '논리적 분리'에 대한 검증과 '논리적 분리'를 허용하더라도 보안성이 담보될 수 있는 기준 및 절차에 대한 의무조항이 필요하다"고 덧붙였다.
NHN클라우드 기정수 상무는 "하등급 시스템에서 관리적, 물리적 보호조치 항목을 대거 삭제해 시행하겠다고 했는데, 이는 보안이 담보돼 있는 상태에서 해야 한다"며 "보안에 대한 명확한 대책과 방안이 만들어지고 나서 이용 기관이 쓸 수 있는 고시가 나오면 좋겠다"고 말했다.
네이버클라우드 김준범 이사는 "미국을 중심으로 한 외산 사업자들이 이미 진입해 생태계를 장악해버린 상황에서 외산 클라우드가 공공에 열린다고 하면 기존 관성대로 외산 제품을 쓸 가능성이 높다"며 "이런 환경에서 과연 국내 사업자가 지속적으로 경쟁력을 만들어 나갈 수 있는지에 대해 다시 한번 고할 필요가 있다"고 지적했다.
이어 "지금까지 클라우드 발전법 얘기가 나오면 수요 얘기는 없고 공급 얘기만 나온다"며 "실제 시장이 활성화될 수 있는 구체적인 방향이 뭔지에 대해 사업자와 정부가 많은 얘기를 해야 하는 시점이 아닌가 싶다"고 말했다.
서버호스팅 및 클라우드 전문 중소기업 스마일서브 김병철 대표는 "공공기관 서비스에서 중소기업이 대기업에 비해 배제되고 있다"며 "중소기업 살길도 열어 주기 위해서는 수의 계약 제도가 바뀌어야 하며, 클라우드 산업 발전을 위해 IaaS 엔지니어가 부족하니 정부기관에서 인프라 엔지니어 교육 과정이 필요하다"고 밝혔다.
또한 "클라우드의 가장 큰 단점은 계란을 한 바구니에 담는 것"이라며 "리스크를 피하기 위해서 동등한 자격을 땄으면 동등한 자원이 배분될 수 있게끔 시행령에 반영되면 좋겠으며, 그렇게 돼야 해외 사업자로 쏠리는 부분도 해결할 수 있다"고 말했다.
이어 "해외 클라우드 사업자는 루트 권한이 외국에 있어 해외 클라우드 사업자가 들어오게 되면 우리나라 기업의 압수수색이 가능한데, 이런 부분에 대한 보안 조치에 대한 논의가 돼 있는지 모르겠다"고 덧붙였다.
PaaS 솔루션 전문 기업인 나무기술 김홍준 상무는 "기본적으로 공공 부문 민간클라우드 도입 활성화라는 CSAP 등급제 시행 취지에는 공감한다"면서도 "그동안 민간클라우드 육성 정책이 IaaS 중심의 지원이었다고 한다면, 이제부터는 시간이 다소 걸리더라도 SaaS와 PaaS 생태계 중심의 자생적 생존 및 성장 지원으로 연결돼야 한다"고 강조했다.
이어 "대규모 클라우드 전문인력 양성 및 공급이 절실하며 해외 사업 확장을 위한 국내 공공 시장 레퍼런스 마련 및 투자 지원이 시급하다"고 덧붙였다.
카카오엔터프라이즈 고재희 상무는 "클라우드 정책을 바꾼다는 건 우리나라 IT전체에 대한 기술 개념을 바꾸는 것으로, 그럴 땐 많은 논의가 이뤄져야 하는데 논의가 충분히 됐는지에 대해 아쉬움이 있다"며 "등급제를 도입하면 시장이 얼마나 커지는지 알 수 없어 사업을 준비한다는 게 너무 어려우며, 과연 등급제가 해답인지 의문이다"라고 말했다.
이어 "물리적으로 분리된 환경이라는 전제 조건이 바뀜에도 불구하고 이점에 대한 고려 없이 통제항목이 줄어든 게 아닌가"라며 "결국에는 사고가 나면 기업이 책임질 수밖에 없고, 그렇게 되면 정부와 기업 모두 신뢰에 타격을 입게 된다"고 덧붙였다.
한국소프트웨어산업협회 조영훈 본부장은 "CSAP 개정은 민간 클라우드에 방점을 둬서 생각해야 된다"며 "고시 개정한 것은 선시행하고, 이후에 더 보완을 해가면서 진행해줬으면 좋겠다"고 말했다.
이어 "SaaS 기업 입장에서는 IaaS를 다른 것 쓴다는 이유만으로 IaaS 사업자 수만큼 인증을 받아야 한다"며 "이렇게 인증 받는 것이 어려워서는 안 된다"고 덧붙였다.
■ 행안부 "클라우드 사업 예산 축소 안타까워…클라우드 비용 제도 연구"
이러한 사업자들의 의견에 과기정통부 엄열 인공지능기반국 국장은 "국내 SaaS 기업들이 원활히 공공 시장에 신규 진입할 수 있도록 한 '하등급 민간 공공영역 간 논리적 분리 허용'에 대해 데이터 주권 등 국내 IaaS 기업들의 우려를 잘 알고 있다"며 "이에 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가항목을 추가했다"고 밝혔다.
행정안전부 서보람 디지털정부국 국장은 "궁극적으로 클라우드 전환에 성공하려면 IaaS 이전이 중요한 게 아니라 SaaS를 얼마나 활용하는지가 중요하다고 생각한다. 단순 서버 이전도 쉽지 않은데 구조 전체를 바꾸는 것은 어느 정도 차원에서부터 들어갈 수 있는지 고민해야 한다"며 "그런데 올해 공공 클라우드 전환사업 예산이 원래 계획에 비해 많이 줄어 342억원밖에 안되는 것에 대해 안타깝게 생각한다"고 밝혔다. 올해 공공 클라우드 전환 사업 예산은 342억원으로, 지난해에 비해 대폭 축소됐다. 정부는 올해 약 290개 시스템을 클라우드로 전환할 계획이다.
이어 서 국장은 "민간 클라우드 서비스를 구독하려면 쓴 만큼 돈 내는 구조가 맞는데, 현재 정부 지출 구조는 사용량에 미리 돈을 주고 사용하게 돼 있어 이와 맞지 않다"며 "클라우드 비용 지불 제도가 제대로 만들어질 수 있게 고민하고 연구하고 있으며, 그렇게 되면 IaaS뿐 아니라 SaaS와 PaaS도 활성화될거라 생각한다"고 말했다.
관련기사
- 한국클라우드산업협회 "명확한 CSAP 가이드라인 제시해야…하등급도 실증 필요"2023.01.11
- 공공 민간클라우드 개방에 업계 촉각…'하등급'서 판가름 전망2023.01.05
- 공공 클라우드 보안인증 공방…협회 "상·중·하 동시 시행해야"2023.01.06
- 과기정통부, CSAP 등급제 간담회 13일 개최2023.01.10
또한 국내 클라우드 업계의 해외 클라우드 사업자에 대한 우려에 대해서는 "길게 본다면 시장을 개방해서 기술 경쟁을 통해 얻게 되는 이익이 클 수 있다"며 "하지만 시장에 지배적 사업자가 있는 상황이라면 (업계 관계자들이 말하는 부분도) 병행하는 게 필요하다고 생각한다"고 말했다.
한편, 과기정통부는 클라우드 보안인증 등급제 도입을 위한 '클라우드컴퓨팅 서비스 보안인증에 관한 고시' 개정안을 지난달 29일부터 오는 18일까지 행정예고했다. 이 중 가장 민감도가 낮은 '하등급' 시스템에 대한 클라우드 보안 인증은 고시 공포 이후 가장 먼저 시행된다. 하등급보다 시스템 중요도가 높은 상·중등급 시스템은 올해 실증 작업을 거친 뒤 시행될 예정이다.
