실시간 뉴스



[데이터링] CSAP 등급제에 "역차별 없어야" vs "공공진출 활성화"


CSAP 하등급 논리적 망분리 허용…민간 클라우드 공공진출 용이해져

[아이뉴스24 박진영 기자] 과학기술정보통신부가 클라우드 보안인증제(CSAP) 등급제 도입을 행정 예고하면서 글로벌 클라우드제공사업자(CSP), 국내 서비스형소프트웨어(SaaS) 기업들은 반기는 반면 국내 CSP들은 하등급에 대한 실증없이 우선 시행하는 것은 역차별이란 의견이 제기되고 있다.

'클라우드 서비스 보안인증(CSAP)' 인증마크 이미지. [사진=KISA 홈페이지 캡쳐]
'클라우드 서비스 보안인증(CSAP)' 인증마크 이미지. [사진=KISA 홈페이지 캡쳐]

◆CSAP 하등급 '논리적' 망분리 허용…글로벌 CSP·SaaS 등 공공진출 용이해져

과학기술정보통신부는 CSAP를 중요도에 따라 상·중·하 등급제로 개편하고 중요도가 낮은 일부 공공기관 시스템에 한해 논리적 망분리를 허용한다는 방침이다. ▲하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템 ▲중등급은 비공개 업무 자료를 포함 또는 운영하는 시스템 ▲상등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템 등으로 분류할 계획이다.

과기정통부는 이러한 내용을 담은 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 지난달말 행정예고하고 이달 중 공포할 방침이다.

이 가운데 하등급을 중심으로 민간 클라우드 사업자들의 진출이 활발해질 것으로 기대된다. 그간 공공 영역에 진출하려면 물리적 망분리 요건을 충족해야 했지만 하등급은 논리적 망분리 조건이 적용된다. 이는 민간 기업용 클라우드 서버와 공공기관용 클라우드 서버를 물리적 공간이 아니라 가상공간에 따로 조성해도 된다는 의미다. 이렇게 되면 아마존웹서비스(AWS), 마이크로소프트(MS) 애저 등 외국계 CSP들의 공공 진출도 가능하다.

또한 SaaS 표준, SaaS 간편 등 기존인증 유형에 대해서도 상벌 규정 등 불필요한 평가 항목은 통폐합 및 삭제되고 클라우드 멀티테넌트 특성(다중이용자 사용)을 고려해 이용기관별 테이블 분리 기준을 완화하는 등 규제도 간소화된다.

이에 따라 CSP 인프라 위에서 작동하는 SaaS기업들도 공공 진출을 위한 별도의 개발 비용이 줄어들 것으로 전망된다. SaaS의 경우 글로벌 CSP와 손잡은 경우가 많기에 글로벌 CSP이 공공시장에 진출하면 SaaS기업들에게도 공공시장에서 기회가 많아질 것으로 보인다.

클라우드 업계 관계자는 "SaaS는 IaaS와 함께 공공 진출이 가능한 경우가 대부분인데, 대부분 국내 SaaS 기업들은 글로벌 CSP 위에서 작동하고 있을 뿐더러 중소 규모가 많아 이번 CSAP 개편안에 완화를 반기는 입장"이라면서 "이를 계기로 국내 공공 영역에서 SaaS 산업이 활성화되길 바란다"고 말했다.

이와 관련 한국클라우드산업협회는 오는 10일 국내 기업(SaaS·PaaS·MSP) 회원사 대상으로 간담회 개최를 통해 실질적 공공시장 참여 확대 측면 등 고시 개정안에 대한 의견을 수렴할 예정이다. 기업들의 기술적·정책적으로 세밀한 검토 이후 의견을 제출할 계획이다.

◆국내CSP "하등급 먼저 시행 '역차별'…적용 범위 명확화해야"

이 가운데 국내 CSP들은 등급제 개편안에 대해 등급별 형평성을 높이고, 보안인증의 적용범위가 구체화할 필요가 있다고 주장했다.

한국클라우드산업협회는 지난 5일 국내 대·중소 CSP 기업들과 클라우드 보안인증 등급제 고시 개정안에 대한 논의를 진행한 결과 상·중·하 등급의 형평성 있는 진행이 필요하다는 입장이 모아졌다. 이날 회의에는 네이버클라우드, KT클라우드, NHN클라우드, 가비아 등이 참석했다.

이들은 상·중등급은 실증을 진행하면서 하등급을 먼저 시행하는 부분이 역차별이라고 강조했다. 또 하등급도 부처 및 공공기관 데이터에 대한 안전성이 담보돼야 하기에 실증이 필요하다는 입장이다. 특히 하등급에 개인정보 뿐만 아니라 신용정보를 포함하는 시스템도 제외해야 한다고 언급했다.

과기정통부의 고시 개정 발령 이후 국가정보보안 기본지침이 1월 하순에 시행되는 가운데 클라우드 보안인증 적용 범위가 여전히 불명확하다는 지적도 나왔다. 공공 클라우드 시장의 수요가 불확실한 상황에서 등급제 추진에 따른 상·중·하 등급별 시장 비율에 대한 세부 정보나 등급제 추진 세부계획을 발표해야 한다는 입장이다.

한편 윤영찬 의원(더불어민주당)은 오는 16일 '바람직한 클라우드 생태계 발전방안 토론회'를 개최한다. 이날 토론회에는 NHN클라우드·네이버클라우드·스마일서브·나무기술 등 산업계는 물론, 과기정통부·행정안전부·한국클라우드산업협회 등 정부 및 기관 관계자가 참석한다.

앞서 윤영찬 의원은 "물리적 망분리 조건을 완화하게되면 국내 데이터 주권을 잃을 수 있다는 우려도 있다"며 "글로벌 기업의 경우 우리 정부의 행정력이 미치지 못하는 영역이 존재할 수 밖에 없어 데이터 주권을 확실하게 지킬 수 있는 제도적 보완이 필요하다"고 밝힌 바 있다.

이어 "시스템은 다양한 데이터를 기반으로한 여러 가지 서비스가 연계돼있어 시스템을 기준으로 중요도를 구분한다면 민감 데이터가 하나라도 포함될 경우 나머지 모두가 상등급으로 묶이는 결과를 초래할 것"이라며 "시스템 안에 데이터가 어떻게 연결돼 있는지를 읽어내고 그 데이터를 기준으로 중요도를 나누는 것이 클라우드 특성을 제대로 반영한 것"이라고 지적했다.

바람직한 클라우드 생태계 발전방안 토론회 포스터 [사진=윤영찬 의원실]
바람직한 클라우드 생태계 발전방안 토론회 포스터 [사진=윤영찬 의원실]

/박진영 기자(sunlight@inews24.com)






alert

댓글 쓰기 제목 [데이터링] CSAP 등급제에 "역차별 없어야" vs "공공진출 활성화"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스