박완주 의원(무소속, 충남 천안을)은 과학기술정보통신부(과기정통부)가 클라우드컴퓨팅 서비스 보안인증제(CSAP)를 상·중·하 3단계로 개편하며 인증 기준을 완화하는 고시까지 개정했지만 정작 관련 실증 사업을 위한 예산을 제때 편성하지 못했고, 또 기준 마련을 위한 사업 역시 회의 개최 수준에 머무는 등 졸속으로 운영하고 있는 것으로 나타났다고 15일 밝혔다.
앞서 과기정통부는 지난해 8월 '정보보호 규제 개선 추진 상황 및 계획'을 발표하며 올해 1월 CSAP 등급제 고시 개정안을 발표한 바 있다. 주요 내용은 ‘개인정보’를 제외한 공공 정보 운영 시스템을 ‘하’등급으로 분류하는 동시에 ‘논리적 망 분리’를 인정해 주는 것이다. 다만 고시 개정과 함께 상·중 등급은 실증과 검증을 통해 평가 기준을 보완하겠다고 단서를 달았다. 이에 실증은 한국지능정보화진흥원(NIA)이, 기준 마련은 한국인터넷진흥원(KISA)이 수행하고 있다.
박 의원은 "문제는 정작 실증 사업을 위한 예산이 제때 편성되지 못해 과기정통부 사이버침해대응과가 인터넷진흥과 예산을 빌려 추진하고 있다는 것"이라고 지적했다. 박 의원이 과기정통부에서 제출받은 자료에 따르면, 과기정통부가 추진하는 상·중 등급 실증은 '클라우드컴퓨팅산업육성'사업 내역 사업인 '공공부문 클라우드 활용 선도과제 발굴·지원' 사업 과제 일부로 9.9억 원을 받아 NIA와 KT클라우드가 추진하고 있다. 이에 과제 시작이 올해 4월 28일에야 이뤄졌고 8개월간 추진한다.
박 의원은 "게다가 상·중등급에 대한 실증은 ‘상’등급 기준이 핵심이지만 ‘중’등급에 초점이 맞춰있는 실정"이라고 밝혔다. 기존 CSAP 인증 기준이 ‘중’등급에 해당하다 보니 ‘상’등급 기준은 명확하지 않아 과기정통부가 임의로 과기정통부 내부 행정시스템을 ‘상’등급이라 판단하고 실증을 추진하고 있다는 것이다. 박 의원은 "이마저도 향후 국정원의 모의 침투 등 검증을 거쳐야 하기 때문에 사업 실효성도 담보하기 힘든 상황"이라면서 "더 큰 문제는 ‘실증’과 ‘기준 마련’이 1년의 짧은 기간 사이 동시에 이뤄지고 있다는 점이다. NIA의 실증이 끝나고 국정원 검증까지 받은 후에 그 결과를 반영해 CSAP 인증 기관인 인터넷진흥원(KISA)도 기준 마련을 할 수 있다. 하지만 KISA는 올해 CSAP 인증 운영 사업비 예산 25억원에서 3억 원을 편성해 등급 개편 기준 마련 사업을 추진하고 있다"고 우려했다.
박 의원은 KISA의 기준 마련을 위한 사업 운영도 부실했다고 지적했다. ‘클라우드 보안인증 제도 개선 및 운영’ 명목으로 편성된 3억 원이 사실상 평가 기준 개편을 위한 ‘인증 위원회’ 운영비에 해당했는데, 지난 6월부터 8월까지 네 번의 회의 개최가 전부였다는 것이다.
박 의원은 “이미 지난해 국정감사에서 성급한 CSAP 추진에 대해 우려를 표했는데 과기정통부는 개편을 공식화한 지 반년도 되지 않아 고시까지 개정해놓고 정작 이를 위한 사업조차 예산 마련조차 하지 않는 등 졸속으로 추진하고 있다"면서 "사업 수행 기관조차 결국 검증 주체는 국정원이라고 하는 상황에서 과기정통부가 왜 먼저 나서 CSAP 인증 완화를 서둘렀는지 묻지 않을 수 없다"고 밝혔다.