클라우드

“성급한 CSAP 등급제 개편, 보안 구멍 우려”··· 산·학계 ‘속도조절’ 요구

이종현
[디지털데일리 이종현기자] “클라우드 보안인증(CSAP)에 대한 요건을 완화할 경우 해외 클라우드 서비스 사업자(CSP)들의 공공 시장 진입이 매우 쉬워진다. 거대한 자본력과 기술력을 앞세운 해외 기업들에 의해 시장에는 엄청난 변화가 올 수밖에 없다.”(윤영찬 더불어민주당 의원)

16일 윤영찬 의원(더불어민주당)은 영등포구 국회의사당 의원회관에서 ‘바람직한 클라우드 생태계 발전방안 토론회’를 개최했다. 정부가 행정예고한 CSAP 등급제 개편과 관련 산·학계 종사자들의 목소리를 듣고, 지속 가능한 제도개선 방향을 도출하겠다는 취지에서 진행됐다.

CSAP는 공공기관에 안정성 및 신뢰성이 검증된 민간 클라우드 서비스를 도입되도록 사전 검증하는 제도다. 서비스형 인프라·플랫폼·소프트웨어(IaaS·PaaS·SaaS) 등의 종류로 구분되는데, 기업이 공공기관에 클라우드 기반 서비스를 판매하려면 반드시 받아야 하는 진입장벽 역할을 하기도 한다.

정부가 행정예고한 것은 현재 단일 등급인 CSAP를 상·중·하로 구분한다는 내용이 골자다. 하 등급의 경우 기존의 CSAP 인증에 비해 요건을 완화시켜 시장 진입을 적극 독려한다는 방침인데, 이 경우 해외 CSP의 공공 클라우드 시장 진입이 가능해져 국내 기업들이 피해를 볼 수밖에 없다.

윤영찬 의원은 “우리나라의 클라우드 산업 생태계를 발전시키고 올바른 방향으로 이끌기 위해서는 등급을 분리하되 시장에 사업적 영역이 확대될 것이라는 확신을 먼저 줘야 하지 않나 생각한다”고 말했다.

또 “시스템의 등급을 분리한다는 것도 그렇게 간단한 문제가 아니다. 국가정보원, 행정안전부, 과학기술정보통신부가 협의해서 시스템 분류 기준과 절차를 마련해야 하는데 우리나라는 지금 디지털 정책을 종합할 컨트롤타워가 없다. 부처간 협의도 제대로 진행되지 않은 상황”이라며 방향뿐만 아니라 실현 가능 여부와 부작용에 대해서도 우려를 표했다.

토론회에는 학계 전문가와 공공 클라우드 사업을 하는 국내 기업 관계자들이 다수 참여했다. 학계에서는 나종회 광주대 컴퓨터공학과 교수, 나연묵 단국대 소프트웨어(SW)융합대학 컴퓨터공학과 교수, 윤대균 아주대 SW 등이 참여했다. 산업계에서는 KT클라우드, 네이버클라우드, NHN클라우드, 스마일서브, 나무기술, 카카오엔터프라이즈 등이 참석했다. 참여자들이 5분 남짓의 발표 후 서로간의 의견을 교류하는 형태로 진행됐다.

한국클라우드산업협회장이자 KT클라우드 대표인 윤동식 회장은 핵심인 ‘보안’에 주안점을 두고 속도조절이 필요하다는 입장을 밝혔다. 큰 틀에서 정부가 추진하는 등급제 개편 및 물리적 망분리에서 논리적 망분리로의 완화 등의 정책 변화 기조는 이해한다면서도 과연 적절한 수준의 대비가 돼 있느냐에 대한 물음을 던졌다.

그는 “KT와 같은 기업은 하루에도 어마어마한 외부 공격에 시달리고 있다. 공공기관은 더할 것이다. 적절한 보안 조치가 없다면 순식간에 정보가 탈취될 텐데, 중요도가 낮은 하 등급이라고 해서 정보가 탈취되더라도 상관 없지는 않을 것”이라며 등급을 떠나 기본적인 보안 대책은 마련돼 있어야 한다고 주장했다.

윤 회장에 따르면 현행 제도에서의 공공 클라우드는 CSP가 보안에 대한 책임 전반을 지고 있는 구조다. 가령 한국인터넷진흥원(KISA)에서 새로운 보안사항 발표가 있다면 CSP가 이를 조치한 뒤 KISA에 보고하는 방식이다. 그러나 변경되는 CSAP 제도의 하 등급의 경우 이와 같은 보안 조치 의무, 보안관제 등의 책임 주체가 명확하지 않다는 것이 윤 회장의 설명이다.

그는 “그동안 CSP가 하던 보안상의 역할을 하는 누군가가 필요할 것이다. 이것이 새로운 시장의 형성으로 이어질 수도 있다. 다만 공공기관 입장에서는 추가적인 비용 부담이 될 수도 있다”며 “정부가 추진하는 등급제에 좋은 점이 있지만 지나치게 빨리 진행하다 보면 문제가 생실 수 있다”고 부연했다.

학계에서도 속도조절론에 힘을 보탰다. 윤대균 아주대 SW학과 교수는 세계적으로 데이터 주권에 대한 인식이 높아지는 가운데 해외에서 적용된 보안 기준을 참조해 국가 차원에서 통제가 필요한 데이터를 분류하는 것이 우선 실행돼야 한다고 강조했다. 보수적으로 시작해 영향도가 적은 것부터 점진적으로 풀어나가는 방식으로 접근해야 한다는 내용이다.

김준범 네이버클라우드 이사는 “한국 시장이 국내 CSP가 안정적으로 서비스를 공급할 수 있는 환경이 갖춰져 있는가에 대한 걱정이 가장 크다”고 말했다. 네이버클라우드와 같은 국내 기업들이 공공 클라우드를 위해 선제적으로 투자한 것은 앞으로 열리게 될 시장에 대한 기대가 컸는데, 전반적인 시장 활성화 측면에서 아쉬움이 있다고 지적했다.

카카오엔터프라이즈도 네이버클라우드와 같은 맥락의 의견을 한층 더 직설적이게 표현했다. 고재희 카카오엔터프라이즈 상무는 “클라우드 사업에 뛰어든 지 3년이 채 안 되는 상황인데, 카카오라는 대기업도 어려움을 겪는 것이 현실이다. 클라우드 산업을 활성화시킨다는 정책에서 민간 기업들이 적극적으로 참여하지 못한 것이 아쉽다”며 “클라우드 생태계를 좀 살려달라”고 호소했다.

이날 토론회에서 산·학계 패널 전문가들은 정부가 추진하는 CSAP 등급제 개편 방향 자체를 반대하지는 않았다. 충분한 숙고가 이뤄지지 않은 상황에서 지나치게 빠른 변화를 추진하면 심각한 부작용을 낳을 수 있다는 공감대를 형성한 것이 특징이다.

이와 관련 엄열 과기정통부 AI기반국 국장은 “CSAP 개편은 너무 무거운 인증 제도 탓에 공공 영역에서 민간 클라우드의 이용이 제한되는 것을 개선하고자 하는 목적이다. 국내 클라우드 산업이 활성화될 수 있는 중요한 단초라고 생각한다”며 “국가정보원이나 행정안전부와 소통해 어떤 시스템이 어떤 등급으로 분류할지에 대한 노력을 지속할 것”이라고 답했다.

또 “현재 개편안은 행정예고돼 있는 상태다. 산업계나 관계 부처의 의견을 계속 수렴하고 있다. 1월 말까지 의견을 들어 제도에 반영할 수 있도록 하겠다”고 부연했다. 1월 말 각 의견을 수렴한 최종 개편안을 내겠다는 것이 과기정통부의 입장이다.

한편 토론회 플로어에 있던 소프트웨어산업협회(KOSA)에서는 다소 결이 다른 목소리가 나왔다. CSAP가 개편되더라도 실제 사업으로 이어지려면 다소 시간이 걸리는 만큼 선제적으로 제도를 개편한 뒤 후속적으로 보완해나가야 한다는 주장으로, 정부 개편안을 지지했다.

조영훈 KOSA 산업정책본부장은 “CSAP 개편이 국산 대 외산으로 비춰지는 것이 안타깝다. 흔히들 말하는 클라우드 생태계가 형성되려면 SW까지 클라우드 서비스로 전환돼야 하는데, 굉장히 지체되고 있다. 만약 고시 개정이 지연되고, 더 완벽하게 만들려고 하면 그 결과물은 내년 나올지 내후년 나올지 모른다. 그때도 실제 사업 발주는 안 나올 확률이 높을 것 같다. 민간 클라우드 도입을 늘리자는 취지에 따라 고시를 빨리 개편했으면 한다”고 피력했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널