[디지털데일리 이종현기자] 과학기술정보통신부(이하 과기정통부)가 재행정예고한 클라우드컴퓨팅서비스 보안인증에 관한 고시(이하 고시) 일부 개정안의 기간이 마감됐다. 그간 수렴된 의견을 반영해 최종 고시 공포를 앞두고 있는 가운데 그 시기와 내용 등에 산업계의 이목이 집중되고 있다.

과기정통부는 2022년 12월 29일 클라우드 보안인증(CSAP) 등급제 개편 내용을 담은 고시 개정안을 행정예고했다. 당초 18일까지 마감이었으나 산업계에서 다수 의견이 표출됨에 따라 기간을 연장, 2023년 1월 19일부터 30일까지 재행정예고했다.

CSAP는 공공기관에 안정성 및 신뢰성이 검증된 민간 클라우드 서비스를 도입되도록 사전 검증하는 제도다. 서비스형 인프라·플랫폼·소프트웨어(IaaS·PaaS·SaaS) 등의 종류로 구분되는데, 기업이 공공기관에 클라우드 기반 서비스를 판매하려면 반드시 받아야 한다. 일종의 진입장벽 역할을 하는 셈이다.

핵심 쟁점은 상·중·하 등급제 개편이다. 하 등급의 경우 기존에 비해 요건을 완화해주겠다는 것이 골자인데, IaaS를 제공하는 클라우드 서비스 기업(CSP)이 예민하게 반응한다. 과기정통부 안대로 개편될 하 등급에 한해서는 외국계 기업의 공공 클라우드 진출이 가능해질 전망이기 때문이다.

과기정통부는 하 등급을 우선 시행하겠다는 방침이다. 이에 국내 CSP는 상·중·하를 구분하는 구체적인 기준 마련이 선행돼야 하고, 시행한다면 상·중·하 등급 동시 시행이 필요하다고 목소리를 높이고 있다. 반면 소프트웨어(SW) 산업계는 ‘조속한 시행 필요’라는 입장이다.

재행정예고 기간이 종료된 가운데 구체적인 시행 시기는 가늠하기 어렵다. 업계에서는 과기정통부가 31일 곧장 고시를 공포할 것이라는 의견이 다수다.

다만 각계의 의견을 수렴하는 행정예고 특성상 곧바로 공포되지는 않을 것으로 보인다는 목소리도 있다. 31일 곧바로 공포한다면 마감 시점에 수렴된 의견은 사실상 반영되지 않은 것이나 마찬가지인데, 이 경우 명분상 불리하게 작용할 수 있다는 주장이다.

과기정통부는 구체적인 공포 시기를 확정하지는 않았다는 입장이다. 그러면서도 ‘31일에는 공포하지 않는 것이 맞느냐’는 질문에는 직접적인 답변을 피했다.

CSAP 등급제 개편에 대한 정부 의지가 확고한 만큼 시행은 기정사실로 보인다는 것이 산업계의 공통된 의견이다. 과연 CSP 기업들의 속도조절 요구가 얼마나 반영될지, 또 공포 시점은 언제인지 등 귀추가 주목된다.