클라우드보안인증(CSAP) 전면 시행, 결국 내년으로 연기되나
등록 2023.11.14 06:30:00수정 2023.11.14 09:14:04
과기정통부·KISA·국정원, KT클라우드 등과 중·상 등급 실증 中
연내 제도 개선안 만들어 내년 초 시행 예정…"실증 차질 없어"
(사진=유토이미지) *재판매 및 DB 금지
[서울=뉴시스]송혜리 기자 = 클라우드보안인증(CSAP) 등급제 중 '중·상' 등급 시행이 내년으로 미뤄질 전망이다. 정부는 올초 CSAP 등급제 시행을 강행하면서 상대적으로 민감도가 낮은 '하' 등급을 우선 시행했으며, 중·상 등급 시스템의 경우, 관계부처 공동 실증·검증을 통해 세부 평가기준을 보완한 뒤 연내 시행하겠다고 예고한 바 있다.
정부 "연내 실증 마무리·제도 개선안 마련해 내년 초 시행"
'공공부문 클라우드 활용 선도과제 발굴 지원 사업' 내 내부 사업으로서 진행하고 있다. KT클라우드 등 국내 클라우드서비스사업자(CSP)들이 참여한다. 민간 클라우드 서비스를 중·상 등급 공공 시스템에 적용할 수 있는지 확인·검증하는 과정이라는 게 과기정통부 설명이다.
정부는 해당 실증 내용을 바탕으로 연내 중·상 등급 시행을 위한 구체적인 제도안을 만들고, 이르면 내년 상반기 상·중·하 전 등급을 대상으로 CSAP 제도 시행을 전면화한다는 계획이다.
과기정통부 관계자는 "현재 중·상 등급에 대한 실증을 진행 중이며, 연말에 제도 개선안을 마련할 예정"이라며 "해당 등급 시행으로 사업자는 내년 초부터 신청할 수 있으며, 실증은 현재 차질 없이 진행 중"이라고 설명했다.
CSAP 등급제는 그동안 획일적으로 운영하던 공공부문 클라우드 보안인증 체계를 시스템 중요도에 따라 상·중·하 등급으로 나눠 각기 다른 보안 규제를 하겠다는 것이 골자다.
이 중 '하'등급에 대해서는 보안 규제를 대폭 풀어줘 공공 클라우드 시장 확산의 마중물로 활용한다는 복안이다. '하' 등급에 대해 기존 민간·공공 영역간 '물리적 분리' 요건을 완화해 '논리적 분리'를 허용한 것이 대표적이다.
다만, 외산 사업자들의 데이터 국외 유출 가능성을 차단한다는 명목으로 정부는 클라우드 시스템과 데이터의 물리적 위치를 국내로 한정하고 이를 검증하기 위한 평가항목을 추가했다.
그럼에도 국내 클라우드 사업자들은 반발했다. 민간 시장을 장악하고 있는 아마존웹서비스(AWS), 구글 등 외산 사업자들에게 공공 문호를 개방하겠다는 얘기인데, 이 경우 국내 시장 생태계 안착에 찬물을 끼얹게 될 것이라는 우려다. 실제 AWS, 구글 등이 CSAP 인증을 받기 위해 평가 신청 작업을 개시한 것으로 알려졌다. 이들 뿐 아니라 알리바바와 텐센트 등 중국 클라우드 사업자들도 인증 신청 여부를 저울질 하고 있다.
"상·중·하 동시 시행하자"요구해왔던 클라우드 업계선 "아쉬워"
상·중·하 등급에 대한 기준, 시행방안 및 적용 시스템 명확하기 않은 상황에서 '하' 등급만 먼저 시행될 경우, 자신의 서비스가 상·중·하등급 중 어느 시스템에 사용되는지 알 수 없어 모든 등급에 대한 기준이 명확히 마련됐을 때 동시 시행해야 한다고 주장한 바 있다.
국내 클라우드 업계 관계자는 "외산 기업들이 하등급을 신청한 것에 관련 업계가 우려하는 것은 이들이 나아가 중·상 등급도 진입할 수 있도록 문을 열어 달라고 할 것이기 때문"이라며 "지난해 주한미국상공회의소(AMCHAM·암참)가 우리 정부에 CSAP 완화를 요구했던 것과 같은 일이 반복적으로 일어날 것"이라고 우려했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
