클라우드 보안인증 등급제 윤곽…'논리적 망분리' 일부 인정
과기정통부, CSAP 상·중·하 3단계로 확정…고민정 "공론화 부족" 비판
(서울=연합뉴스) 조성미 문다영 기자 = 정부가 추진하고 있는 클라우드 보안인증(CSAP) 등급제의 윤곽이 나왔다.
국내 클라우드 업체들이 해외 업체에 시장을 빼앗기게 될 거라며 도입을 반대하던 '논리적 망 분리'가 보안인증 하위 등급에서 일단 허용된다.
정부는 또 중상위 등급의 경우 실증 사업을 거쳐 민간에도 클라우드 시장의 문호를 개방할 방침이다.
그러나 업계는 정부의 이러한 계획이 현재로서는 실현 가능성이 작아 보인다며 우려하는 한편, 충분한 의견 수렴 없이 서둘러 등급제를 시작한다고 비판했다.
◇ 과기정통부, 국가기관 등 시스템 3단계로 나눠 보안인증 차등 적용
국회 과학기술정보방송통신위원회 소속 더불어민주당 고민정 의원이 29일 과학기술정보통신부로부터 제출받은 클라우드 보안인증 제도개선 추진계획에 따르면 과기정통부는 이날 클라우드 보안인증에 관한 고시 일부 개정안을 행정 예고한다.
국가기관 등 시스템을 중요도 기준으로 상·중·하 3등급으로 구분하고 등급별로 차등화된 클라우드 보안인증 기준을 적용하는 것이 핵심이다.
'하' 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, '중' 등급은 비공개 업무자료를 포함하는 시스템, '상' 등급은 민감한 정보를 포함하거나 행정 내부업무를 운영하는 시스템에 적용된다.
과기정통부는 "국가기관 시스템 등을 3등급으로 분류하는 세부 기준과 등급별 보안인증 평가 기준은 마련하고 있다"며 "'하' 등급을 우선 시행하고 '중'과 '상' 등급은 실증 사업을 거친 뒤 시행하겠다"고 설명했다.
'하' 등급에서는 논란이 되는 '논리적 망 분리'를 허용한다.
논리적 망 분리란 업무시스템 접근용 네트워크와 인터넷 접근용 네트워크를 분리해 각각 접속하는 물리적 분리와 대비되는 개념으로, 가상공간을 활용해서 망을 분리하는 것을 뜻한다.
◇ 논란의 '논리적 망 분리' 하위 단계서 허용…졸속 추진 비판도
이처럼 고시 개정안에 논리적 망 분리가 일부 허용된 데 대해 국내 클라우드 업계는 영업 영역을 글로벌 사업자에게 뺏기는 결과로 이어질 거라며 우려했다.
그간 국내 업계는 시장 잠식을 우려해 CSAP 등급제를 통해 이를 허용하는 것에 반대해 왔다. 반면 국내에 하드웨어 장비를 갖추지 않은 글로벌 업체는 논리적 망 분리를 선호해왔다.
국내 클라우드 업계 한 관계자는 "과기정통부가 실증사업을 통해 '중·상' 등급의 정부 시스템을 민간 클라우드 업체에 개방한다고 하지만, 그러려면 행정안전부가 지금까지 추진하던 공공 클라우드 사업을 멈춰야 하는데 그런 움직임이 보이지 않고 있다"고 전했다.
고민정 의원은 업계 의견 수렴뿐 아니라 정부 부처 내에서도 조율이 완료되지 않은 상황에서 고시 개정안을 예고한다고 비판했다.
특히 개정안의 세부 형식 등과 관련해서는 과기정통부와 행정안전부가 협의할 부분이 남아있는 것으로 전해졌다.
고 의원은 "클라우드 보안 인증제도 완화 문제는 국내외 클라우드 산업에 미치는 영향 등을 고려해 충분한 공론화 절차를 거쳐 추진해야 한다"며 "몇 달간 제대로 된 논의가 없다가 졸속 추진할 문제가 아니다"라고 비판했다.
다만 전쟁과 같은 국가 비상 상황에서 물리적 망 분리로는 데이터 유실을 막기 어려워 논리적 망 분리의 도입이 필요하다는 의견도 있다.
디지털 플랫폼 정부위원회는 과기정통부에 "민감도가 낮은 행정기관의 내부업무 시스템은 민간 클라우드의 자유로운 이용을 보장하도록 제약을 최소화해야 한다"고 제언했다.
국내 클라우드 인프라 서비스(IaaS) 기업들은 과기정통부에 "글로벌 기업의 시장 진입에 대한 우려도 있지만, 공공시장 확대 가능성을 기대할 수 있다"면서 "국내 시장에 진입한 글로벌 기업에도 국내 기업에 준하는 보안 책임을 부여해 등 무임승차를 막아야 한다"는 의견을 냈다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>