과학기술정보통신부가 주최한 CSAP 등급제 간담회 발표자료/사진=김가은 기자
과학기술정보통신부가 주최한 CSAP 등급제 간담회 발표자료/사진=김가은 기자

정부가 추진 중인 클라우드 보안인증(CSAP) 등급제 개편이 마무리 단계에 접어들었다. 과학기술정보통신부가 연장한 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 일부 개정안 재행정 예고 기간이 지난 30일부로 마감됐기 때문이다.

앞선 지난해 12월 29일 과기정통부는 CSAP 등급제 개편 내용을 담은 고시 개정안을 지난 18일까지 행정예고한 바 있다. 그러나 산업계와 학계를 중심으로 여러 이견이 쏟아져나오자 기간을 연장하고 지난 30일까지 재행정예고했다. 고시는 31일 늦은 오후에 공포될 예정이다.

다만 클라우드서비스(CSP) 업계는 여전히 안갯 속을 헤매고 있는 상황이다. 세부적 클라우드 시스템 분류 기준을 담을 '국가정보보안기본지침'부터 상·중 등급에 대한 개방 여부 등도 업계에 명확하게 공유된 바가 없어 향후 사업 계획 수립에 애를 먹고 있다는 지적이다.

기준없는 CSAP 등급제에 CSP업계 '혼란'

CSAP는 공공 클라우드 시장 진입을 위한 필수 관문이다. 공공기관에 도입될 서비스형 소프트웨어·플랫폼·인프라 등 민간 클라우드 서비스에 대한 안정성과 신뢰성을 검증하기 위한 일종의 장치인 셈이다.

현재 정부가 추진 중인 CSAP 등급제 개편안은 단일 인증체계였던 기존 CSAP를 시스템 중요도에 따라 상·중·하로 구분하고 등급별로 차등화된 기준을 적용하는 점이 골자다. 특히 고시 공포 후 우선 시행되는 하 등급에 대해서는 기존 조건이었던 '물리적 망분리' 대신 '논리적 망분리' 조치만 취해도 인증 획득이 가능할 전망이다.

이를 두고 국내 CSP사들은 지속적으로 반대 의견을 전달해왔다. 그간 물리적 망분리 요건을 거부해 공공시장 진입이 불가능했던 아마존웹서비스(AWS), 구글클라우드(GCP), 마이크로소프트 등 외국계 기업이 시장에 진입하게 될 가능성이 농후하기 때문이다. 이 경우 공공을 중심으로 이제 막 성장 중인 국내 기업들은 경쟁력을 잃게 될 것이라는 지적이다. 

과기정통부 CSAP 등급제 개편안 행정예고/사진=과학기술정보통신부
과기정통부 CSAP 등급제 개편안 행정예고/사진=과학기술정보통신부

특히 상·중·하 등급을 구분할 구체적 기준, 즉 국가정보원 '국가정보보안기본지침'도 공유되지 않은데다 우선 시행되는 하 등급 외에 중·상 등급을 개방할지 여부도 결정되지 않아 그간 공공사업을 위해 쏟아온 투자와 노력이 무용지물로 돌아가게 생겼다고 CSP업계는 반발하고 있다.

현재 과기정통부가 내놓은 각 등급별 기준이 존재하지만 명확하지는 않다. 과기정통부에 따르면 상 등급은 민감정보를 포함하거나 행정 내부 업무 운영 시스템인 경우, 중 등급은 비공개 업무자료를 포함하거나 운영하는 시스템이다. 우선 시행되는 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템이다.

국내 클라우드 업계 관계자는 "하 등급이 개인정보를 포함하지 않는 시스템이라고는 하지만 결국 사용자 개인정보나 결제시스템 등 민감한 데이터를 다룰 수 밖에 없다"며 "분류 체계에 대한 세부 기준을 수립하고, 적용 범위를 명확하게 할 필요가 있다"고 강조했다.

또 그는 "하 등급 규모는 건별 금액으로만 따졌을 때는 적어보일 수 있지만 선수로 따지면 상·중 등급보다 많을 수 있다"며 "현재까지 국내 기업들이 수주해온 대부분의 시스템도 사실상 하 등급에 속했다"고 덧붙였다.

"행정안전부는 뭐하나" 정부 내에서도 불만

CSAP 등급제를 도맡아 추진하고 있는 정부부처는 현재 과기정통부다. 그러나 실제로는 국가정보원, 행정안전부 등 여러 곳이 직접적으로 연관돼있다. 국정원이 CSAP 보안 평가 항목을 구성하고, 이후 과기정통부가 인증을 부여·관리한다. 행정안전부는 최종적으로 인증받은 클라우드 서비스를 공공기관에서 사용할 수 있도록 지원하는 역할을 맡은 사실상 주무부처다.

그러나 행안부는 이번 CSAP 등급제 개편에서 '뒷짐'을 지고 있는 듯한 모습을 보여왔다. 기존에는 과기정통부가 타 부처와 소통없이 무리하게 일을 추진한다는 비판을 받아왔다. 그러나 최근 정부 부처 내부에서는 각 공공기관들이 사용 중인 행정시스템을 가장 잘 알고 있는 행안부가 아무 역할도 하지 않아 혼란을 키우고 있다는 지적이 나온다.

정부 관계자는 "현재 CSAP 등급제에서 논란이 되고 있는 시스템 분류 기준 수립은 행안부가 주도적으로 이끌어줘야 하는 부분"이라며 "공공기관 시스템을 행안부가 가장 잘 알고 있고, CSAP 등급제 개편 이후에도 도입을 담당할텐데 아무런 역할도 하지 않고 있다"고 비판했다.

한 업계 관계자는 "과기정통부가 주도해서 CSAP 등급제를 추진한다고 해도 실제 도입을 담당하는 행안부가 준비돼있지 않으면 무용지물"이라며 "실제로도 이번 제도 추진이 굉장히 주먹구구식으로 이뤄지고 있다는 평가가 많고, 누가 기준을 잡고 가져가는지가 명확하지 않아 혼란스럽다"고 설명했다.

한편, 이번 고시 개정안은 이날 늦은 오후 공포될 예정이다. 김정삼 과기정통부 정보보호네트워크정책관 국장은 "오늘 늦은 오후쯤 공포될 예정"이라며 "현재 용어나 문구, 업계 의견 등을 정리하고 있다"고 말했다.

김가은 기자 7rsilver@techm.kr

관련기사

키워드

Top #행정안전부 #행안부 #과학기술정보통신부 #과기정통부 #김정삼 #CSAP #CSAP 등급제 #클라우드 보안인증 #국가정보보안기본지침 #상 #중 #하 #행정예고 #CSP #MSP #SaaS #AWS #GCP #MS