지난 4일 열린 국회 과학기술정보방송통신위원회(과방위)의 과학기술정보통신부에 대한 국정 감사에서 '뜨거운 감자' 중 하나는 클라우드 보안인증(CSAP)의 등급제 도입이었다. 의원들은 지난 8월 갑자기 등장한 정책을 두고 그 배경에 의구심을 표했다. 국내 클라우드 업계의 의견을 충분히 구하지 않았다는 점을 두고 졸속으로 제도를 마련하려 한다고도 비판의 수위를 올렸다. 대체 CSAP가 무엇이고, 여태껏 조용하다 갑자기 주목을 받게 됐을까. <뉴스토마토>는 CSAP 등급제 도입의 발단과 관련 산업계에 미치는 영향 등을 짚어봤다. [편집자주]
[뉴스토마토 김진양 기자] 과학기술정보통신부는 지난 8월18일 제5회 국정현안점검조정회의에서 '정보보호 규제개선 추진 상황 및 계획'의 일환으로 '클라우드 보안인증(CSAP) 등급제 도입' 계획을 발표했다. 국가기관 등에서 혁신적, 효율적 민간 클라우드 이용이 확대될 수 있도록 기존의 획일적인 보안인증 체계에서 클라우드로 사용될 시스템의 중요도를 기준으로 3등급으로 구분해 사이버 안보가 저해되지 않도록 등급별로 차등화된 보안인증기준을 적용하겠다는 것이 골자다
CSAP는 공공기관에 안전성 및 신뢰성이 검증된 클라우드 서비스를 공급하기 위해 지난 2015년 도입됐다. 클라우드 서비스 공급자에게 권고하는 정보보호 측면의 관리적, 기술적, 물리적 보호 조치사항으로 14개 분야 117개 항목을 준수했는지 심사·평가한다. 평가는 최초 평가, 사후 평가, 갱신 평가로 이뤄지며 공공기관에 클라우드 서비스를 제공하기 위해 민간 클라우드 업체들은 CSAP 취득은 물론, 자체 보안 활동을 수시로 시행한다.
정부가 밝힌 CASP 개편 방안을 살펴보면, 현재 적용 중인 클라우드 보안인증 평가기준을 보완·완화해 민감정보 등을 다루는 클라우드에 대해서는 보안성을 높이고 보안 위험이 상대적으로 낮은 공개데이터를 다루는 클라우드에 대해서는 부담을 완화한다.
구체적으로는 CASP를 상·중·하로 구분해 데이터 민감도에 따라 '상'은 국가 안보, 외교에 대한 중요 국익 관련 시스템, '중'은 현재의 CSAP 인증 수준, '하'는 대민서비스 영역에 적용한다는 방침이다.
과기정통부는 국가정보원 등 관계부처 협의 및 산업계, 전문가 등의 의견수렴을 거쳐 마련한 이번 계획의 세부 방안을 디지털플랫폼정부위원회 등과 협업해 내놓을 방침이다. 향후에도 디플정위원회를 통해 현장 적용을 지속 모니터링하고 추가 개선사항을 발굴해 규제 개선 효과를 극대화 한다.
얼핏보면 합리적인 개선 방안 같지만 대부분의 국내 클라우드 서비스 제공사(CSP)들은 반대 목소리를 높이고 있다. 그간 '물리적 망분리' 요건을 충족하지 못해 CSAP 인증을 획득하지 못한 해외 사업자들이 이번 제도 완화로 공공시장 진입이 가능해 질 것이란 우려 때문이다. 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드 등 외국계 CSP가 민간 클라우드 시장의 80% 이상을 점유하고 있는 상황에서 공공시장까지 열어줬다가는 데이터 주권을 빼앗길 수 있다는 주장이다.
지난 4일 열린 국회 과방위의 과기정통부에 대한 국정감사에서는 '클라우드 보안인증' 등급제 도입에 대한 의원들의 질의가 이어졌다. 사진은 질문에 답변하는 이종호 과기정통부 장관의 모습.(사진=연합뉴스)
국내 산업계에 적지 않은 영향을 미칠 가능성이 큰 정책을 업계의 충분한 의견 수렴 없이 일방적으로 진행하고 있다는 데에도 불만의 목소리가 집중된다. 클라우드 업계 한 관계자는 "논의조차 없던 내용이 갑자기 나타나 당황스럽다"며 "미국과의 통상 이슈때문이 아닌가 조심스럽게 추측해본다"고 전했다.
지난 4일의 국감 현장에서도 이를 추정할 만한 의혹들이 제기됐다. 더불어민주당 윤영찬 의원은 "지난해 4월 주한미국상공회의소(암참·AMCHAM) 기업환경 세미나에서 CSAP 완화 요구가 나온 이후 AWS가 온라인 간담회에서 한국이 규제를 완화해야 한다는 주장을 거듭했다"며 "올 6월에는 한덕수 국무총리가 암참 주재 행사에 참석해 직접 규제를 풀겠다는 약속을 했다"고 말했다. 현재 국내 대형 로펌 김앤장이 AWS, 구글 클라우드 등의 입장을 대변하고 있는데, 해당 로펌 출신인 한 총리가 앞장서 해외 업체의 이해에 따라 과기정통부를 압박하고 있는 것이 아니냐는 문제제기다. 그는 "(CSAP 완화가) 사업자 간에도 반대가 많은데 결론을 몇 개월 만에 내야하는 사안이냐"며 "과기정통부가 나서서 국내 사업자들을 지키고 막아주기는커녕 거꾸로 행동하고 있다"고 꼬집었다.
과기정통부도 은연 중에 이번 제도 개선과 관련해 외부의 요청도 있었음을 시사했다. 이종호 과기정통부 장관은 의원들의 국감 질의에 "총리실하고 주로 이야기가 있었다"고 언급했고, 박윤규 제2차관은 "(5월) 한미 정상회담의 의제는 아니었으나 미국상공회의소가 지속적으로 문제제기를 해왔던 것은 알고 있다"고 말했다. 과기정통부 한 관료는 어느날 갑자기 던져진 어젠다에 틀을 짜맞추는 듯한 업무를 진행하고 있다며 답답함을 호소하기도 했다.
더불어민주당 조승래 의원은 "CSAP 완화가 외국 업체 미뤄주기가 아니라고 하는데, 최근 국가정보원에서도 망분리를 주장하다가 한 발 뺀 것으로 알고 있다"며 "여러 명이 같이 몰려가다 어느 순간 보면 나 혼자 남는 경우가 있다. 그렇게 되면 모든 비난은 과기정통부가 안게 된다"고 심사숙고 해 줄 것을 요청했다.
김진양 기자 jinyangkim@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지