보안

[국감2023] “CSAP 완화 급하게 추진하더니 회의는 고작 4번”

이종현 기자

[디지털데일리 이종현기자] 박완주 의원(무소속)은 과학기술정보통신부(이하 과기정통부)가 클라우드 보안인증(CSAP)을 상‧중‧하 3단계로 개편하는 작업을 서둘러 추진했지만 정작 실증 사업을 위한 예산은 제때 편성하지 못했다고 꼬집었다. 기준 마련을 위한 사업 역시 회의 개최 수준에 머무는 등 졸속으로 운영되고 있다는 지적이다.

15일 국회 과학기술정보방송통신위원회(이하 과방위) 소속 박완주 의원이 과기정통부에게 제출받은 자료에 따르면 과기정통부는 지난 1월 CSAP 등급제 고시 개정안을 발표했지만 실증 사업을 위한 예산이 제때 편성되지 못해 과기정통부 사이버침해대응과가 인터넷진흥과의 예산을 빌려 사업을 추진하고 있다고 밝혔다.

현재 과기정통부는 하 등급에 한해 논리적 망분리를 허용해주는 내용을 골자로 하는 CSAP 등급제 고시 개정을 추진한 상태다. 상‧중 등급의 경우 실증과 검증을 통해 평가 기준을 보완하겠다고 단서를 달았다. 해당 사업은 4월28일 시작돼 8개월간 진행되는 중이다.

박 의원은 상‧중증급에 대한 실증은 ‘상’ 등급이 핵심이지만 정작 사업에서는 ‘중’ 등급에 초점이 맞춰져 있다고 비판했다. 기존 CSAP 인증 기준이 중 등급에 해당하다 보니 상 등급에 대한 기준이 명확치 않아 과기정통부가 임의로 내부 행정시스템을 상 등급으로 판단하고 실증을 추진 중인데, 향후 국가정보원(이하 국정원)의 검증을 거쳐야 하기 때문에 사업 실효성을 담보하기 어렵다고 전했다.

실증과 기준 마련이 1년이라는 짧은 기간 사이 동시에 이뤄지고 있다는 점도 문제 삼았다. 한국지능정보화진흥원(NIA)의 실증이 끝나고 국정원 검증까지 받은 후 그 결과를 반영해 CSAP 인증 기관인 한국인터넷진흥원(KISA)도 기준을 마련할 수 있다. 하지만 KISA는 올해 CSAP 인증 운영 사업비 예산 25억원 중 3억원을 편성해 등급 개편 기준 마련 사업을 추진하고 있다.

KISA의 기준 마련을 위한 사업 운영도 부실하다고 비판했다. CSAP 제도 개선 및 운영 명목으로 편성된 3억원은 사실상 평가 기준 개편을 위한 인증 위원회 운영비에 해당했고, 지난 6월부터 8월까지 4번의 회의 개최가 전부였다는 지적이다.

박 의원은 “이미 작년 국정감사에서 성급한 CSAP 추진에 대해 우려를 표했는데 과기정통부는 개편을 공식화한 지 반년도 되지 않아 고시까지 개정해놓고 정작 이를 위한 사업조차 예산 마련조차 하지 않는 등 졸속으로 추진하고 있다”며 “사업 수행 기관조차 결국 검증 주체는 국정원이라고 하는 상황에서 과기부가 왜 먼저 나서 CSAP 인증 완화를 서둘렀는지 묻지 않을 수 없다”고 말했다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널