과기부 'CSAP 인증제' 민간 자율로…국정원 중심 관리체계 논의
규제 불확실성 해소·국제 기준 부합 여부 관건
(서울=연합뉴스) 조성미 기자 = 행정부 등 공공 분야 데이터가 저장·관리되는 공공 클라우드의 보안 관리가 과학기술정보통신부 손에서 국가정보원으로 넘어가는 방안이 논의되고 있다.
국내외 클라우드 업계에서는 규제 불확실성이 높아질 가능성에 촉각을 곤두세우고 있다.
미국 트럼프 정권이 온라인플랫폼법·정보통신망법 등 국내 디지털 규제에 민감하게 반응하는 상황에서 국내 공공 클라우드 시장으로 진입을 시작하는 해외 빅테크들의 반발 여부도 주목되고 있다.
◇ 공공 클라우드 국정원이 관리할까…과기부와 '온도 차'
1일 클라우드 보안 당국과 업계에 따르면 과기정통부·한국인터넷진흥원(KISA)의 공공 클라우드 보안 인증제(CSAP)를 민간 인증으로 자율화하고 공공 클라우드 보안 체계에서 국정원이 주도권을 쥐는 방안이 논의되고 있다.
당국은 클라우드 업계를 상대로 바뀌는 보안 인증 제도에 대한 설명회를 열어 의견을 수렴하는 한편 국가인공지능전략위원회에도 관련 내용을 공유했다.
과기정통부가 보안 등급에 따라 상·중·하로 나눠 인증을 부여하던 CSAP를 '표준', '간편'으로 단계를 줄이고 클라우드컴퓨팅법 개정을 통해 민간 인증화하는 방안이 거론된다.
CSAP라는 제도가 완전히 없어지는 것은 아니지만 사실상 유명무실해지고 공공 클라우드 보안 관리의 키를 국정원이 쥐게 되는 개편안이다.
다만, 두 기관의 입장에는 미묘한 온도 차가 느껴진다.
과기정통부는 "개편 작업이 진행 중이나 결정된 바가 없고 국정원 등 관계 기관과 협의하며 민간 기업의 의견을 듣는 과정"이라며 유보하는 태도를 취했다.
반면, 국정원은 논의 중인 개편안에 대해 "공공 부문에 도입되는 클라우드에 대한 보안 인증을 국정원 검증 제도로 일원화하기로 한 것"이라고 한 발 나아간 입장을 보였다.
국정원은 기존 CSAP 인증을 받은 기업이 다시 새로운 인증 대상이 되는 데서 오는 비효율 문제에 대해 "기존 인증의 유효기간을 오롯이 인정하는 한편 두 인증 간 동일 항목에 대해서는 국정원 검증을 면제할 계획"이라고 밝혔다.
국정원은 지난해 보안 가이드라인 초안 고도화 계획을 밝힌 국가망보안체계(N2SF)와 신설 공공 클라우드 인증과의 연계를 고려해 관련 제도 정비 작업에 속도를 내는 모양새다.
국정원은 "클라우드 보안 맞춤형 체계로 검증 항목을 간소화하고, 피지컬 인공지능(AI) 등 신기술 AI 서비스는 검증 대상에서 제외하는 등 산업 활성화를 위한 방안을 담아 이른 시일 내 관계부처 합동으로 발표할 계획"이라고 밝혔다.
◇ 빅테크 반발할까…국정원 "부담 줄여"
클라우드 업계에서는 국정원이 새로운 관리 주체로 등장하는 데 긴장하는 표정이 역력하다. 규제가 강해지면 대책 마련에 나서야 할 부담이 있고, 반대로 빅테크 클라우드에 대한 빗장이 풀어질 경우 국내 기업들은 공공 시장에서 경쟁력을 잃을 가능성이 있어서다.
또, 최근 미국이 관세를 15%에서 25%로 급작스러운 인상을 발표한 배경에 온플법·망법·쿠팡 등 빅테크 규제가 있다는 의심을 샀다는 점에서 정부의 공공 클라우드 보안 관리 정책 변화가 미국을 자극하는 새 뇌관이 되는 것 아니냐는 우려도 나온다.
대통령비서실 사이버특별보좌관을 지낸 임종인 고려대 정보보호대학원 교수는 "미국은 글로벌 기준을 주도한다고 생각하는데 자신들에게 없는 한국 규제가 시행된다고 하면 의도가 아무리 좋은 정책이라도 오해를 살 수 있다"고 말했다.
임 교수는 "동맹국과 불필요한 전선을 만들 필요가 없는 만큼 협의가 중요하며 미국도 공공 데이터의 클라우드화, 제로트러스트를 통한 보안 관리에 철저한 만큼 신중하게 접근할 필요가 있다"고 제언했다.
익명을 요구한 보안 전문가는 "CSAP와 국정원 인증이 통합될 경우 형식적으로는 공공 클라우드 보안 절차가 단순화되고 중복 규제가 완화되는 효과를 기대할 수는 있다"면서도 우려되는 지점도 분명하다고 했다.
그는 "CSAP는 국제 기준을 준용해 클라우드 인프라의 보안 성숙도를 평가하는 제도인 반면 국정원의 보안성 검토는 개별 시스템과 운영 환경을 중심으로 한 안보적인 판단에 가깝다"며 "두 제도의 성격과 책임 주체가 다른 만큼, 단순한 통합이 오히려 기준의 불명확성과 규제 불확실성을 키울 가능성도 있다"고 했다.
이어 "국정원 중심의 단일 인증 체계로 재편될 경우 심사 기준과 절차가 얼마나 투명하고 예측할 수 있게 설계되느냐가 관건"이라며 "기업이 미리 준비할 수 있는 명확한 기준과 국제적으로 설명 가능한 구조가 함께 마련돼야 한다"고 강조했다.
국정원은 CSAP와 새 보안 규정 통합이 국내외 클라우드 산업계의 이중 규제 부담을 줄이는 방향이 될 것이라고 강조했다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>