|
25일 이데일리 취재를 종합하면 과기정통부와 한국인터넷진흥원(KISA)은 지난 20일 7개 주요 클라우드 사업자를 대상으로 간담회를 열고 이 같은 클라우드 보안 인증 제도 개편 방안을 공유했다.
◇CSAP ‘의무’ 벗고 민간 인증으로…공공 보안 인증은 국정원 일원화
추진 방향의 핵심은 두 가지다. CSAP의 민간 인증 전환, 그리고 국정원 주도의 신규 검증 체계 신설이다.
현행 CSAP는 공공기관에 클라우드 컴퓨팅 서비스를 제공하려는 사업자가 반드시 취득해야 하는 보안 인증 요건이다. 그러나 정부는 이를 사업자가 자율적으로 선택하는 민간 인증 형태로 전환하는 방안을 추진한다. 이 경우 클라우드 사업자는 공공 부문 서비스 제공을 위해 CSAP 인증을 의무적으로 확보하지 않아도 된다.
CSAP 등급제 역시 손질한다. 물리적 망분리를 전제로 설계된 CSAP는 2023년 상·중·하 등급제를 도입해 하 등급에 한해 망분리 규제를 완화한 바 있다. 당초 과기정통부는 하 등급을 우선 시행하며 상·중 등급 세부 기준을 담은 고시 개정 작업을 해오고 있었지만, 결과적으로 등급제 대신 ‘표준·간편’ 구분으로 간소화하기로 가닥을 잡았다.
업계에서는 이 같은 변화가 사실상 CSAP 제도가 유명무실화되는 수순으로 받아들여지고 있다. 한 클라우드 업계 관계자는 “그동안 공공 시장 진입을 위해 비용 부담을 감수하며 CSAP 인증에 투자해왔는데, 자율 인증으로 전환된다면 굳이 인증을 획득할 유인이 없다”고 말했다.
과기정통부 소관의 CSAP가 민간 영역으로 국한되는 대신, 공공 부문 클라우드 보안 정책은 국정원이 이관받아 신규 검증 체계를 마련할 계획인 것으로 알려졌다. 당국과 업계에 따르면 국정원은 국가망보안체계(N2SF)와의 연계를 고려해 ‘국가 클라우드 컴퓨팅 보안 가이드라인’ 개정을 포함한 관련 제도 정비 작업에 속도를 내고 있다.
다만 국정원 검증 체계의 구체적인 내용과 공개 시점은 아직 확정되지 않았다. CSAP 제도 개편 역시 클라우드컴퓨팅법 등 법령 개정이 필요해 실제 시행까지는 다소 시간이 소요될 것이란 관측이 나온다.
◇이중 규제 해소 기대 속 ‘선투자 역차별’ 논란…외산 클라우드 변수 부상
공공 부문 클라우드 보안 인증 제도는 과거 여러 차례 이중 규제 논란이 불거졌던 만큼, 국정원 일원화 구조가 되면 시장 혼선이 줄어들 것으로 분석된다. 그동안 민간 클라우드 사업자들은 공공 시장에서 과기정통부 소관 CSAP 심사와 국정원의 보안성 검토를 모두 거쳐야 해 중복 규제와 비용 부담을 토로해 왔다.
반면 걱정의 목소리도 적지 않다. 특히 CSAP 인증 취득을 위해 선제적으로 투자해온 국내 클라우드 사업자들 사이에서는 형평성에 어긋난다는 불만이 감지된다. 보안 인증 주체가 국정원으로 넘어갈 경우, 물리적 망분리 등 폐쇄적 보안을 최우선하는 기관 특성상 인증 요건이 오히려 강화될 수 있다는 우려도 짙다.
CSAP는 그간 외산 클라우드의 국내 공공 시장 진입을 제한하는 장벽으로 작용해온 만큼, 제도 변화에 따른 시장 지형 변화도 주목된다. 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드 등 글로벌 빅테크 3사는 지난해 CSAP 하 등급을 획득한 데 이어 상·중 등급에서도 망분리 규제 완화를 요구해온 상황이다.
다만 국정원 주도의 신규 검증 체계가 어떤 방향으로 설계되느냐에 따라 공공 클라우드 시장에 미치는 파급력은 크게 달라질 전망이다. 업계 한 관계자는 “새 검증 체계가 기존 CSAP를 계승하는 수준이라면 충격은 제한적이겠지만, 물리적 망분리 요건이 한층 강화될 경우 그동안의 선투자 비용이 사실상 무력화될 수 있다”며 “국정원이 보안 관점뿐 아니라 산업 생태계 전반을 고려해 업계 의견을 충분히 반영해야 한다”고 지적했다.
이와 관련해 과학기술정보통신부는 “확인해 줄 수 있는 사항이 없다”고 밝혔다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
