과학기술정보통신부가 추진 중인 클라우드 보안인증(CSAP) 등급제도 개편에 대해 외국계 클라우드 기업에게 공공시장의 빗장을 풀어주는 것이 아니냐는 지적이 나왔다.

4일 정부세종청사에서 열린 과학기술정보방송통신위원회 과기정통부 국정감사에서 박찬대 더불어민주당 의원은 "윤 정부 들어서 뜬금없이 클라우드 보안인증(CSAP) 완화가 거론되고 있다"며 "보안인증 완화의 최대 수혜자가 아마존, 마이크로소프트, 구글, 오라클이 될 것이란 전망이 우세한 가운데, (이들이) 실제 공공시장 진출을 위해 노력하고 있다"고 지적했다.

과기정통부는 지난 8월부터 CSAP 개편 작업에 착수, 현재 단일 인증체계인 CSAP를 데이터 중요도에 따라 3단계로 구분하는 안을 추진 중이다. 이에 그동안 물리적 망분리 등의 요건을 갖추기 어려워 CSAP 인증을 받지 못했던 외국계 클라우드 기업들이 3등급인 대민 서비스 영역에 진출할 수 있게 될 것이란 전망이 나오고 있다.

박 의원은 이런 개편 방향이 외국계 기업에 국내 공공 시장을 열어주기 위한 게 아니냐고 지적했다. 그는 "행안부와 과기정통부는 공공기관, 행정기관이 운영하는 1만여개 정보시스템을 클라우드로 전환한다고 발표했다"며 "올 3월만해도 공공 부문 클라우드 운영 참여기업은 클라우드 보안인증(CSAP) 제도에 따라 인증을 받도록 정부 고시까지 발표됐다"고 말했다.

이종호 과기정통부 장관은 "보안 인증을 완화한다는 내용이 아닌 걸로 알고 있다"며 "클라우드를 활성화시키기 위해 좀 더 정교하게 보안 체계 마련하는 형태로 알고 있다"고 말했다.

박윤규 과기정통부 2차관은 "그동안 획일적인 기준을 갖고 있었기 때문에 공공기관의 민간 클라우드가 활성화 안된다는 업계 건의사항을 경청해 미국이나 선진국이 하는 것처럼 데이터의 중요도에 따른 보안 기준으로 바꿔 나가는 방향을 정한 것"이라며 "특정 외국계 기업을 염두한 정책은 아니다"라고 말했다. 이어 "국내 클라우드 시장은 IaaS 제공하는 기업도 있지만, SaaS를 통해 글로벌하게 성장하는 소프트웨어 기업도 많이 있다"고 덧붙였다.

박 의원은 "공공부문 클라우드와 관련해 CSAP 인증 기준 맞추지 않기 위해 외국계 기업이 들어오지 않았는 데 이를 풀어주는 것이 아니냐"며 "물리적으로 통제를 해줘야 하는데, 기술적으로 망분리하는 것까지 허용해주겠다고 얘기하니 외국계 기업들이 들어온다고 얘기하는 것"이라고 질타했다. 또 박 의원은 "5월 한미 정상회담 계기로 미국 측이 공식으로 요청한 것이냐"고 물었고, 박 차관은 "그런 적은 없는 것으로 알고 있다"고 답했다. 

박 의원은 "국제 무역은 호혜 원칙으로 진행되는 것이 일반적"이라며 "미국 IRA 법 통과로 수출에 의존하는 국내 기업들의 막대한 타격이 예상되는 상황에 스스로 외국 기업에 빗장을 열어주며 보안인증 완화를 강행할 필요가 있는지 많은 국민들이 의심하고 있다"고 말했다. 이에 박 차관은 "국내 기업들이 불이익 보지 않도록 디지털플랫폼정부위원회와 상의하겠다"고 답했다.

박 의원은 공공기관의 대국민 서비스가 해외 클라우드 위에 올라갈 경우 데이터 주권에 문제가 생길 수 있다는 취지의 지적도 제기했다. 그는 "나이스(NEIS, 차세대 교육행정정보시스템) 시스템의 학생부 발급 등의 민원 서비스도 대국민 서비스로 볼 수 있지 않냐"며 "개인의 민감 정보가 포함돼 있는 데, 보안인증 완화 대상에 포함되는 지 궁금하다"고 물었다.

박 차관은 "공공기관마다 성격 다르지만 홈페이지 게시판, 물품 구매 사이트 등을 3등급으로 할 수 있다고 판단하고 있다"며 "구체적으로 결정된 바는 없다"고 말했다. 또 "나이스 시스템도 대민 서비스 포함될 수 있지만, 종합적인 검토가 필요한 사안"이라며 "나이스 시스템을 3등급 분류할 계획이 있는 건 아니다"라고 설명했다.

남도영 기자 hyun@techm.kr