컨텐츠 바로가기

국감 뜨거운 감자 'CSAP' 의견 모았다?…기업마다 온도차 '심각' [데이터링]

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

민감도 기준·글로벌 추세·기존 인증제 등 살펴야…"졸속 추진 안 돼"

[아이뉴스24 김혜경 기자] 최근 정부가 클라우드 보안인증제(CSAP)를 3등급으로 개편하겠다는 입장을 밝히면서 산업계가 술렁이고 있다. CSAP는 민간 기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증이다. 지난 4일 열린 국정감사에서는 졸속 추진 논란까지 불거졌다. 모든 이해관계자를 대상으로 충분한 의견수렴이 이뤄지지 않은 상황에서 정부가 강행하고 있다는 지적이다.

디지털플랫폼정부위원회에서 관련 논의가 이어질 것으로 전망되는 가운데 공공부문 클라우드 전환 사업에서 민간 기업의 수요 확보와 사회경제적 편익도 함께 고려해야 할 것으로 보인다.

아이뉴스24

최근 정부가 클라우드 보안인증제(CSAP)를 3등급으로 개편하겠다는 입장을 밝히면서 산업계가 술렁이고 있다. CSAP는 민간 기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증이다. [사진=픽사베이]

<이미지를 클릭하시면 크게 보실 수 있습니다>



◆ CSAP 인증서 발급 총 72건…'SaaS 간편' 가장 많아

클라우드 서비스 보안인증(Cloud Security Assurance Program)은 '클라우드 컴퓨팅 발전·이용자 보호에 관한 법률' 제23조 제2항에 따라 정보보호 기준 준수 여부를 인증기관이 평가·인증하는 제도다. 인증기관은 한국인터넷진흥원(KISA)이다. 공공기관에 안전성과 신뢰성이 검증된 민간 클라우드 서비스를 공급, 이용자 보안 우려를 해소하고 클라우드 경쟁력을 확보한다는 취지다.

2016년 제도 도입 이후 처음으로 CSAP 인증을 받은 곳은 KT 클라우드로, 서비스형 인프라(IaaS) 형태의 인증을 획득했다. 평가 분야는 IaaS를 비롯해 ▲서비스형 데스크톱(DaaS) ▲서비스형 소프트웨어(SaaS) 표준등급 ▲SaaS 간편등급으로 나뉜다. SaaS의 경우 표준은 총 13개 분야‧78개 통제항목으로, 간편은 11개 분야‧30개 통제항목으로 구성됐다. 표준 등급의 인증 유효기간은 5년, 간편은 3년이다. IaaS와 DaaS 인증 유효기간은 각각 5년이다.

KISA에 따르면 올해 10월까지 인증서 발급현황은 총 72건이며, 유지되고 있는 인증은 67건이다. ▲SaaS 표준 22건 ▲SaaS 간편 37건 ▲IaaS 11건 등의 순으로 많다. 다만 아마존웹서비스(AWS)와 마이크로소프트(MS) 애저(Azure), 구글 클라우드 등 글로벌 사업자가 인증을 받은 경우는 현재까지 없다. 국내에 데이터센터를 둬야 하고, 물리적으로 망을 분리해야 하는 등 CSAP 요건 때문이다.

2016년 과학기술정보통신부(당시 미래창조과학부)는 '클라우드컴퓨팅서비스 정보보호에 관한 기준'과 '클라우드컴퓨팅서비스 품질·성능에 관한 기준'을 고시했다. 고시는 클라우드‧데이터의 물리적 위치는 국내로 한정하고, 공공기관용 서버와 네트워크, 보안장비 등은 일반용 클라우드 서비스 영역과 분리해 운영해야 한다고 규정했다. 이와 함께 공공기관에 클라우드를 제공하기 위해선 국정원의 보안 공통평가기준(CC)인증도 함께 받도록 했다.

그동안 글로벌 클라우드 서비스 제공사(CSP)들은 물리적 망분리 등을 지적해왔다. 최근 비즈니스 소프트웨어 얼라이언스(BSA)는 행정안전부와 과기정통부에 '클라우드 보안 인증 제도에 대한 규제 개혁'을 건의한 것으로 알려졌다. MS와 오라클, 어도비, IBM 등에서 공공 업무를 담당하고 있는 임원들이 해당 단체에 참여하고 있다.

BSA는 문서를 통해 "CSAP는 보안상 이점이 없음에도 글로벌 CSP에 기술·행정적 부담을 부과해 시장 진출을 막는 요소로 작용하고 있다"며 "물리적 망분리와 데이터 현지화, 정부가 허용한 알고리즘 사용은 글로벌 표준에 부합하지 않는다"고 주장했다. BSA는 ▲한국 공공기관이 글로벌 CSP의 서비스를 이용할 수 없다는 점 ▲한국 SaaS 기업의 시장 참여 기회 상실 ▲비용 증가 ▲보안 약화 등을 문제점으로 꼽았다.

지난 8월 과기정통부는 클라우드 시스템의 중요도 기준을 3등급으로 구분하고 등급별로 차등화된 보안인증 기준을 적용하겠다고 발표했다. 현재 단일 구조의 CSAP를 데이터 민감도에 따라 상‧중‧하(혹은 1‧2‧3등급)로 구분하고, '하'등급에 대해서는 물리적 망분리만 가능했지만 논리적 망분리까지 허용하겠다는 내용이 골자다. 구체적으로 '상'등급은 국가안보와 수사 등과 관련된 민감 데이터 서비스, '중'등급은 현재 CSAP 수준의 서비스, 나머지는 데이터 민감도가 낮은 대민서비스로 분류되는 것으로 알려졌다.

물리적 망분리는 외부와 내부를 물리적으로 단절시킨 망분리 방식을 뜻하고, 논리적 망분리는 가상화 등을 통해 하나의 서버 안에서 망을 분리한 방식이다. 논리적 망분리를 제외하고 글로벌 CSP에서 지적하는 알고리즘 문제나 데이터 현지화 등은 이번 개편에선 포함되지 않는다고 과기정통부는 설명했다.

개편안 발표 후 산업발전에 미칠 긍정적인 효과에 대한 기대감도 있지만 반대 목소리도 나온다. 특히 국내 CSP를 중심으로 클라우드산업이 축소될 우려가 있다는 주장이 나온다. 논리적 망분리를 허용하는 것은 글로벌 사업자가 국내 공공 클라우드 시장에 진입할 수 있도록 돕는 행위라는 것.

현재 민간 클라우드 영역을 살펴보면 IaaS의 약 51%는 AWS가 차지하고 있다. 서비스형 플랫폼(PaaS)의 경우 MS와 AWS가 각각 18%, 13%로 집계됐다. 앞서 행정안전부는 오는 2025년까지 중앙부처와 지방자치단체, 공공기관의 정보시스템 가운데 총 1만여개를 클라우드로 전환한다는 계획을 발표한 바 있다. 글로벌 기업 진입이 어려운 공공시장을 통해 경쟁력을 높이겠다는 것이 국내 CSP의 전략이다. 3등급 개편으로 국내 사업자는 이득이 없는 반면, 해외 사업자에는 상당한 기회로 작용할 것이라는 점이 이들의 주장이다.

아이뉴스24

'클라우드 서비스 보안인증(CSAP)' 인증마크 이미지. [사진=KISA 홈페이지 캡쳐]

<이미지를 클릭하시면 크게 보실 수 있습니다>



◆ CSP·MSP·보안 등 '제각각'…의견수렴 제대로 했나

CSAP 개편안을 두고 관련 업계에선 다양한 목소리가 나온다. CC인증과의 상관관계와 세계적 추세, 데이터 민감도, 국내 생태계 영향 등을 구체적으로 따져봐야 한다는 것. 특히 충분한 의견수렴과 함께 공공시장에서 민간 클라우드 수요가 보장돼야 한다는 의견도 제기되고 있다.

보안업계 한 관계자는 "완화된 규제를 기반으로 클라우드를 공공에 적용하기 위해서는 국가 사이버 안전체계와 연속성을 유지할 수 있는 보안관제 요구사항이 포함돼야 한다"며 "인프라‧경계보안 중심의 인증체계에서 미국 정부의 '연방 위험‧인증관리 프로그램(FedRAMP)' 등 데이터 흐름 중심의 발전 방향도 고려해야 할 것"이라고 말했다.

업계 또 다른 관계자는 "가‧나‧다 등급으로 구분하고 있는 CC 인증과 CSAP 등급제 상관관계를 어떻게 정립할지도 의문"이라며 "데이터 민감도 기준을 아예 새롭게 만들 수는 없으므로 개편안도 기존 제도를 참고할 것으로 추정되는데 구체적으로 어떻게 구분할 것인지 심도있는 논의가 필요하다"고 전했다.

공공기관이 민간 클라우드를 적극 도입할 것인지도 관건이다. 또 다른 보안기업 관계자는 "현재 행안부 국가정보자원관리원은 대전과 광주 등에서 공공 클라우드 센터를 운영하고 있는데 클라우드 전환 사업에서 실제 민간 기업에 할당될 규모는 어느 정도인지도 따져봐야 한다"며 "CSAP 개편과는 별개로 공공 클라우드 센터에 대부분의 데이터가 보관될 경우 국내 CSP의 경쟁 상대는 달라질 수 있기 때문"이라고 강조했다.

국내 CSP와 SaaS 기업 간 찬반 구도가 형성되는 모양새지만 정작 SaaS 사이에서도 입장이 갈리는 상황이다. SW업계 한 관계자는 "CSP뿐만 아니라 전체 IT 생태계를 활성화할 수 있는 방향으로 접근하는 것이 중요하다"며 "SaaS 중요성이 부각되고 있는 만큼 글로벌 스탠더드와 국내 산업 활성화의 균형점을 모색해야 할 것"이라고 말했다.

또 다른 SW사 관계자는 "글로벌 CSP들의 공공시장 접근이 전략적 차원이라는 점을 미뤄봤을 때 개편안이 어떤 변수로 작용할지 고려해야 할 것"이라며 "외산 혹은 국산 서비스 이용 여부, 공공·민간 부문 고객사 비율 등 비즈니스 형태에 따라 영향은 다를 수밖에 없다"고 설명했다.

국내 CSP 측은 충분한 의견 수렴과 공공부문 클라우드 전환 활성화 정책을 함께 논의해야 한다고 강조했다. 국내 CSP 한 관계자는 "7월 말부터 8월 초 몇 차례 간담회가 있었지만 이미 3등급 개편이 확실시되는 상황에서 진행됐다는 것이 CSP들의 공통 의견"이라며 "행안부나 국정원에서 개편안 관련 배경을 설명하는 등 좀 더 적극적인 태도를 보였다고 알고 있다"고 말했다.

또 다른 관계자는 "그동안 글로벌 사업자들의 CSAP 문제 제기는 있었지만 이번 개편안만 놓고 봤을 때 어떤 논의 과정을 거쳐 도출된 건지 의문"이라며 "공공 부문의 민간 클라우드 이용 활성화도 함께 논의해야 한다"고 전했다.

/김혜경 기자(hkmind9000@inews24.com)


[ⓒ 아이뉴스24 무단전재 및 재배포 금지]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.