실시간 뉴스



[데이터링]정부, CSAP 등급제 이달 중 시행…업계 "하등급도 실증 필요"


과기정통부, 13일 CSAP 관련 업계 의견 청취 간담회 개최

[아이뉴스24 박진영 기자] 클라우드 보안인증 등급제(CSAP) 도입에 대한 의견이 분분한 가운데 정부는 이달 중 업계 의견을 취합해 최종 개정안을 시행하겠다는 방침이다. 보안업계에서는 개정안 공포 후 바로 시행되는 하등급 보안인증에 대해서도 검증과 실증이 필요하다는 입장을 꾸준히 제기하고 있다.

'클라우드 서비스 보안인증(CSAP)' 인증마크 이미지. [사진=KISA 홈페이지 캡쳐]
'클라우드 서비스 보안인증(CSAP)' 인증마크 이미지. [사진=KISA 홈페이지 캡쳐]

13일 과학기술정보통신부는 한국지능정보사회진흥원(NIA) 서울 사무소에서 클라우드컴퓨팅서비스 보안인증에 관한 고시 개정안 시행을 앞두고 국내 클라우드 업계 의견을 듣기 위한 간담회를 개최했다.

이날 네이버클라우드·NHN클라우드·KT클라우드 등 국내 클라우드서비스사업자(CSP)는 물론 메가존클라우드·베스핀글로벌·나무기술 등 클라우드관리서비스 사업자(MSP)와 서비스형소프트웨어(SaaS) 사업자들이 참여해 의견을 냈다.

CSAP등급제는 국가‧공공기관의 중요도 분류 기준과 절차에 따라 시스템을 상‧중‧하 등급으로 자체 분류하는 것이 골자다. 구체적으로 ▲하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템 ▲중등급은 비공개 업무자료를 포함 또는 운영하는 시스템 ▲상등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류한다.

클라우드 사업자에 대한 보안인증 평가기준은 등급별로 차등화한다. 기존 평가항목 기준으로 상등급은 보완‧강화하고, 중등급은 현행수준을 유지한다. 하등급 평가기준은 합리적으로 완화할 방침이다. 특히 하등급 시스템에 대해 기존 민간‧공공 영역간 '물리적 분리' 요건을 완화해 '논리적 분리'를 허용한다.

지난달 말 과기정통부는 관련 내용을 포함한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 오는 18일까지 행정예고했다. 이 기간 동안 업계, 관계기관 등이 참여하는 간담회 등 통해 각계 의견을 수렴해 최종 고시 개정안에 반영하고 1월 중 공포할 방침이다.

과기정통부 관계자는 "이번 간담회는 CSAP 등급제 도입과 관련 업계의 다양한 의견을 수렴하기 위해 진행됐다. 특히 상중하 등급제 시행과 관련, 하등급 실증에 대한 업계의 의견을 들었고 여러 의견에 대한 적절성 여부를 검토할 예정"이라고 밝혔다.

◆국내 CSP·SaaS 등 "하 등급도 실증해야" 한 목소리

보안업계에서는 상·중·하등급 동시 시행이 필요하다는 의견이 나오고 있다. CSAP 등급제 개편의 신속한 시행을 강조한 SaaS기업들도 상중하 등급에 대한 가이드라인이 불명확하다고 지적했다.

현재 상·중·하등급에 대한 기준, 시행방안 및 적용 시스템이 명확하지 않은데, 이런 상황에서 하등급만 먼저 시행될 경우 SaaS 기업들은 어느 등급의 CSAP를 받아야 하는지 비교·검토가 불가하다는 설명이다.

더욱이 하등급에 대한 클라우드 보안인증은 고시 공포 후 즉시 시행하는 규정에 대한 업계의 반발이 심한 상황. 상‧중등급은 안전성, 활용성 등을 고려해 실증‧검증을 통해 세부 평가기준을 보완한 뒤, 내년 중 시행할 예정이다.

이에 대해 상·중등급은 실증을 진행하면서 하등급을 먼저 시행하는 것은 역차별이라는 주장도 나온다. 더욱이 CSAP는 사업자격이 아닌 보안인증이기에 하등급도 보안 안정성을 파악한 후 시행하는 게 필요하다는 입장이다.

또한 공공 클라우드 시장의 수요가 여전히 불확실한 상황에서 등급제 추진에 따른 상·중·하 등급별 시장 비율이나 세부 추진 계획을 발표해야 한다는 의견이 나왔다.

등급이 세분화되면 클라우드 서비스 적용 범위에 대한 모호성이 해소될 것이라는 예상과 달리 등급제 추진에 대한 행정예고가 발표됐으나 그 적용 범위는 여전히 불확실하다는 것이다. 의견 수렴 기간이 지나면 즉시 시행되는 제도인데, 사업자가 실질적으로 준비할 수 있는 부분이 없다는 설명이다.

한편 지난 12일 박원기 네이버클라우드 APAC 대표는 정부의 CSAP 등급제 도입과 관련 "이는 세계적 흐름의 방향과 다른 것 같다"면서 "유럽 등 권역에서는 클라우드 운영의 독립성, 기술 자주성을 강조하는 '소버린클라우드'에 대한 관심이 높아지고 있는데 한국은 그런 추세와 다르게 글로벌 개방에 포커스를 맞추고 있는 것 같다"는 반대 의견을 내비치기도 했다.

/박진영 기자(sunlight@inews24.com)






alert

댓글 쓰기 제목 [데이터링]정부, CSAP 등급제 이달 중 시행…업계 "하등급도 실증 필요"

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스