실시간 뉴스



[데이터링] 졸속 추진 논란 휩싸였던 클라우드 보안인증 우여곡절 끝 시행


'중‧상' 등급은 별도 기준 마련…'공공클라우드센터' 개념 정립

[아이뉴스24 김혜경 기자] 클라우드 보안인증(CSAP) 등급제가 우여곡절 끝에 시행된다. CSAP는 민간기업이 공공부문에 클라우드 서비스를 공급하기 위해 필요한 인증이다. 졸속 추진 논란이 불거지자 정부는 당초 예상보다 시행일을 연기했지만 큰 틀은 유지된 모양새다. 다만 '하'등급을 제외한 '중‧상'등급은 별도 기준을 마련한 후 시행한다는 방침이다.

클라우드 서비스 이용 '시스템 중요도' 등급 분류기준. [사진=국정원]
클라우드 서비스 이용 '시스템 중요도' 등급 분류기준. [사진=국정원]

1일 과학기술정보통신부에 따르면 ’클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안이 지난달 31일 공포됐다. CSAP는 '클라우드 컴퓨팅 발전·이용자 보호에 관한 법률' 제23조 제2항에 따라 정보보호 기준 준수 여부를 인증기관이 평가·인증하는 제도다. 인증기관은 한국인터넷진흥원(KISA)이다. 공공기관에 안전성과 신뢰성이 검증된 민간 클라우드 서비스를 공급, 이용자 보안 우려를 해소하고 클라우드 경쟁력을 확보한다는 취지다.

CSAP가 시행되기까지 우여곡절이 많았다. 2016년 과기정통부(당시 미래창조과학부)는 '클라우드컴퓨팅서비스 정보보호에 관한 기준'과 '클라우드컴퓨팅서비스 품질·성능에 관한 기준'을 고시했다. 클라우드‧데이터의 물리적 위치는 국내로 한정하고 공공기관용 서버와 네트워크, 보안장비 등은 일반용 클라우드 서비스 영역과 분리해 운영해야 한다는 내용이다. 이와 함께 공공기관에 클라우드를 제공하기 위해선 국정원의 보안 공통평가기준(CC)인증도 함께 받도록 했다.

2016년 제도 도입 이후 처음으로 CSAP 인증을 받은 곳은 KT클라우드로, 서비스형 인프라(IaaS) 형태의 인증을 획득했다.

지난해 8월 과기정통부는 클라우드 시스템의 중요도 기준을 3등급으로 구분하고 등급별로 차등화된 보안인증 기준을 적용하겠다고 발표했다. 현재 단일 구조의 CSAP를 데이터 민감도에 따라 상‧중‧하로 구분하고, '하'등급에 대해서는 물리적 망분리만 가능했지만 논리적 망분리까지 허용하겠다는 내용이 골자다. 물리적 망분리는 외부와 내부를 물리적으로 단절시킨 망분리 방식을 뜻하고, 논리적 망분리는 가상화 등을 통해 하나의 서버 안에서 망을 분리한 방식이다.

그동안 아마존웹서비스(AWS) 등을 비롯한 글로벌 클라우드 서비스 제공사(CSP)들은 물리적 망분리 등을 지적해왔다. CSAP는 보안상 이점이 없음에도 글로벌 CSP에 기술·행정적 부담을 부과해 시장 진출을 막는 요소로 작용하고 있다는 것. 이들은 ▲한국 공공기관이 글로벌 CSP의 서비스를 이용할 수 없다는 점 ▲한국 SaaS 기업의 시장 참여 기회 상실 ▲비용 증가 ▲보안 약화 등을 문제점으로 꼽았다.

개편안 발표 후 소프트웨어(SW)업계에서는 산업발전에 미칠 긍정적인 효과에 대한 기대감도 있었지만 우려의 목소리도 나왔다. 글로벌 사업자의 국내 공공 클라우드 시장 진출이 쉬워지면서 국내 클라우드 경쟁력이 위축될 것이라는 우려인 것이다.

논란이 커지는 가운데 정부는 지난달 30일까지 두 차례 행정예고를 거쳐 고시 개정안을 확정했다. 국가‧공공기관의 중요도 분류기준과 절차에 따라 시스템을 상‧중‧하 등급으로 구분하기로 한 것이다. 하등급에 대해선 즉시 시행하되 상위등급의 경우 별도 기준을 마련한다는 유예기간을 뒀다. 국내 CSP는 상·중·하등급 동시 시행이 필요하다는 의견을 제시했지만 받아 들여지지 않은 셈이다.

국내 한 CSP 관계자는 "논리적 망분리 관련 구체적인 내용이 불분명하고 지난해 국정감사 때 지적한 내용이 거의 반영되지 않았다"며 "상등급 보안은 강화한다고 하는데 이런 상황에서 하등급에 외산이 진입하게 되면 국내기업 입장에서는 시장 자체가 오히려 줄어드는 상황"이라고 말했다.

또 다른 CSP 관계자는 "당초 행정예고 때는 하등급에 개인정보 관련 내용이 포함됐는데 이 부분은 제외돼 업계 의견이 일정 부분 반영된 것으로 보인다"며 "우선 정부 지침에 맞춰 공공 부문 사업을 준비할 것"이라고 했다.

고시 공포 날짜에 맞춰 '국가정보보안지침'도 개정됐다. 국가정보원이 지난달 31일 공개한 정보보안지침에 따르면 공공클라우드센터란 '외교‧안보, 수사‧재판, 행정업무 처리 등 정보시스템을 통합 관리하기 위해 각급기관장의 장이 설치‧운영 중인 데이터센터'를 뜻한다.

제41조에는 '국가 클라우드 컴퓨팅 보안 가이드라인'에 명시된 보안기준에 따라 보안대책을 수립‧시행해야 된다는 내용이 포함됐다. 이와 함께 국정원은 시스템 중요도에 따라 상‧중‧하 등급 분류 기준도 발표했다.

SW업계 한 관계자는 "현재 한국의 클라우드 전환 속도는 느린 상황"이라며 "국내 SaaS 기업의 경쟁력을 높여야 국내 CSP도 생존할 수 있고 진정한 의미의 클라우드 전환이라고 볼 수 있을 것"이라고 전했다.

/김혜경 기자(hkmind9000@inews24.com)






alert

댓글 쓰기 제목 [데이터링] 졸속 추진 논란 휩싸였던 클라우드 보안인증 우여곡절 끝 시행

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스