사진제공=이미지투데이클라우드 보안인증제(CSAP)가 등급제로 개편되며 보안 등급이 낮은 공공시스템을 중심으로 민간 클라우드의 진출이 수월해진다. 아마존웹서비스(AWS), 마이크로소프트(MS) 등 글로벌 클라우드제공사업자(CSP)를 통해 서비스해 온 서비스형 소프트웨어(SaaS) 사업자들의 공공 진출이 활발해질 것으로 전망된다.
과학기술정보통신부는 CSAP 등급제 도입을 위한 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 개정안을 29일부터 행정예고한다고 이날 밝혔다.
이번 개정안의 골자는 그동안 획일적으로 운영되던 보안인증 체계를 상?중?하 등급제로 개편하는 것이다. 이에 따라 민간 클라우드를 이용하고자 하는 국가?공공기관은 중요도에 따라 시스템을 상?중?하 등급으로 자체 분류한다.
하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 중 등급은 비공개 업무 자료를 포함 또는 운영하는 시스템, 상 등급은 민감정보를 포함하거나 행정 내부 업무 운영 시스템으로 분류한다. 다만 클라우드 시장 신규 창출과 공공 서비스의 품질 제고를 위해 행정 내부 업무 운영 시스템은 시스템 중요도에 따라 중 등급으로도 분류할 수 있도록 한다.
클라우드 사업자에 대한 평가 기준도 등급별로 차등화된다. 상 등급 평가 기준은 보완·강화하며 중 등급은 현행 수준을 유지, 신규 사업자들의 진출이 활발해질 것으로 예상되는 하 등급은 평가 기준을 완화한다. 현재는 민간 클라우드 사업자가 공공 영역에 진출하려면 반드시 물리적 망분리 요건을 충족해야 했지만 하 등급에 해당하는 경우에는 이를 완화해 논리적 망분리를 허용한다. 물리적 망분리 요건을 갖추지 못한 글로벌 CSP를 기반으로 서비스를 제공해 온 서비스형 소프트웨어(SaaS) 기업들이 이 부분 진출이 원활해질 것으로 전망된다. 다만 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가 항목은 추가한다. 또한 클라우드의 기존 유형에 대해 업계 의견을 반영해 상벌 규정 등 불필요한 평가 항목은 통폐합 및 삭제되며, 클라우드 멀티테넌트 특성(다중이용자 사용)을 고려해 이용기관별 테이블 분리 기준을 완화하는 등 규제도 간소화된다.
다만 국내 CSP를 중심으로 CSAP 등급제 개편에 반대 목소리를 내온 만큼 업계 일각의 반발이 예상된다. 그간 정부가 관철해 온 물리적 망분리는 국내 클라우드 산업 발전을 위한 우산으로 작용했다. 공공을 중심으로 덩치를 키워 온 국내 기업들은 이러한 현행 제도 아래서 공공 사업을 위한 투자를 지속해 왔다. 이들의 주장은 CSAP 등급제 개편이 그간 물리적 망분리를 위해 쏟아온 설비 투자에 대한 역차별이라는 것이다.
과기부 관계자는 “디지털플랫폼정부의 성공적인 구현을 위해서는 민간 클라우드를 활용한 혁신과 국내 클라우드 산업 경쟁력 강화 측면이 함께 고려되어야 한다”며 “하 등급 시스템에 대해서는 글로벌 경쟁 환경 조성과 보안성 측면을 고려하고, 상?중 등급 시스템에 대해서는 신규 시장을 창출하여 국내 클라우드 산업 전반의 성장을 위해 노력하겠다”고 밝혔다. 과기부는 행정예고 기간 동안 업계, 관계기관 등이 참여하는 간담회 등 개최를 통해 각계 의견을 수렴하고, 의견 수렴 결과를 최종 고시 개정안에 반영하여, 내년 1월 중 공포할 예정이다.
