[데이터링] "소버린클라우드 정책 설계시 고려해야"…CSAP 등급제 우려 여전

[아이뉴스24 박진영 기자] 국내 클라우드 업계가 공공부문의 민간클라우드 활성화를 목적으로 하는 클라우드 보안인증(CSAP) 등급제 도입에는 공감하나 세부적 기준에 대한 논의가 충분치 않은 상황에서 하등급을 이달 말 시행하려는 정부에 우려를 표하고 있다.

클라우드컴퓨팅서비스 보안인증에 관한 고시 개정안이 이달 말 시행되는 가운데 윤영찬 국회의원(더불어민주당)은 16일 오후 2시 국회 의원회관 제8간담회의실에서 '바람직한 클라우드 생태계 발전 방안'을 주제로 관계 부처와 산업계, 학계 전문가들이 참여한 정책 토론의 장을 마련했다.

이날 토론회에는 네이버클라우드·NHN클라우드·스마일서브·나무기술 등 국내 클라우드 산업계 인사는 물론, 공공클라우드 관련 부처인 행정안전부·과학기술정보통신부 관계자, 한국클라우드산업협회 등 관련 기관에서 참여했다.

특히 유럽 권역을 중심으로 활발히 논의되고 있는 소버린 클라우드를 정책 설계 시 고려할 필요가 있다는 의견이 나왔다. 소버린클라우드는 클라우드 운영의 독립성, 기술의 자주성 등을 강조하는 개념으로, 현지 국가의 규정이나 법률을 따르면서 각국에서 데이터 주권을 강화하기 위해 떠올랐다.

윤대균 아주대 소프트웨어학과 교수는 "CSAP 개편은 데이터 주권과 소버린 클라우드 관점에서 신중한 검토가 필요하다"면서 "이는 공공 클라우드에만 한정되는게 아니다. 해외 CSP가 장악하고 있는 민감 시장의 클라우드에서도 잘 살펴볼 필요가 있다"고 밝혔다.

공공클라우드 사업 주무부처인 행안부 서보람 디지털정부국장은 "민간클라우드를 성공적으로 활용하는 국가가 영국인데, 영국의 GDS도 최근 소버린클라우드와 관련한 고민을 하고 있고, 정부에서도 이에 대한 고민을 하겠다"면서 "다만 클라우드 사업 측면에서 올해 예산이 342억원 규모로 축소돼 안타깝게 생각한다. 이를 고려해 기존 정보 시스템을 단순하게 클라우드로 전환하는 방식은 줄이고 대규모 단위의 민간 클라우드 활용 모델 전환, 클라우드 네이티브 방식의 전환, 민간 SaaS 활성화 방향 등 사업을 중점적으로 추진할 것"이라고 전했다.

아울러 이날 토론자들은 CSAP 등급제 도입으로 국내 민간 클라우드 시장을 거의 독점하고 있는 해외 클라우드서비스제공사업자(CSP)의 공공시장 진입이 용이해지면서 국내 클라우드 생태계의 균형적 발전을 저해할 수 있을 뿐더러, 중상등급에 대한 구체적 기준을 정립한 후 논리적 망분리를 허용한 하등급을 시행할 필요가 있다는 데 의견을 모았다.

기정수 NHN클라우드 상무는 "클라우드를 이용하는 공공기관이 실질적 고민은 보안에 대한 우려인데, 하등급에 해당되는 시스템에 대해 논리적 망분리를 바로 시행하기보다는 문제를 사전에 예방할 수 있는 방안이 마련될 필요가 있다"면서 "일례로 국가 정보시스템을 민간 클라우드로 활용했는데 보안 침해사고가 발생하면 기본적으로 해당 이용기관이 책임을 지는 구조인데, 이용기관 입장에서는 부담이 상당한 만큼 고시 시행 이후 해당 제도가 활성화될 지 의문"이라고 지적했다.

윤대균 교수는 "CSAP 등급제를 신중히 분류할 필요가 있다"면서 "현재 등급 분류가 대상 시스템의 중요도에 따라 (일괄적으로) 나뉘었는데, 그보다는 데이터나 애플리케이션에 따라 보안등급을 나누고 등급데 따라 통제 항목을 세부적으로 설정해야 한다"고 강조했다.

이와 관련 엄열 과기정통부 인공지능기반정책과 국장은 "CSAP 보안 인증 등급화는 그간 민간클라우드 공공 개방에 걸림돌로 작용했던 보안 제도를 완화하기 위함이다"면서 "외산 IaaS가 공공시스템에 들어오고, 데이터 주권 침해에 대한 우려가 있는데 이번 고시 개정을 통해 데이터센터의 물리적 위치를 국내에 한정하는 평가항목도 추가하는 등 제도적으로 보완했다"고 밝혔다.

서보람 국장도 "민간 클라우드에 대한 보안인증 제도 개편으로 불이익이 발생할 수 있다는 민간의 우려를 잘알고 있으나, 이런 부분에서 문제가 생기지 않도록 해결방법을 찾고 있으며 관련 부처에서는 이달말 세부적 보안기준을 발표할 계획"이라고 전했다.