[디지털데일리 권하영기자] 글로벌 빅테크들이 우리나라 공공 클라우드 시장을 노리고 보안 규제를 대폭 완화해 달라고 정부에 요청했다. 클라우드보안인증(CSAP) ‘하’등급에 이어 ‘상·중’등급까지 논리적 망분리를 허용해달라는 요구인데, 국내 클라우드 기업들은 못마땅한 눈치다. 정부는 신중한 검토를 약속했다.

31일 정부와 관련업계에 따르면, 아마존웹서비스(AWS)·마이크로소프트(MS)·오라클·IBM 등이 속한 글로벌 소프트웨어(SW) 기업 연합체인 BSA(Business Software Alliance)는 최근 과학기술정보통신부(이하 과기정통부)에 CSAP 규제를 대폭 완화해달라는 요구사항을 담은 의견서를 전달했다.

의견서는 현재 CSAP ‘하’등급에 한해 허용된 ‘논리적 망분리’를 ‘중’등급은 물론 ‘상’등급에까지 허용해달라는 내용을 핵심적으로 담고 있다.

CSAP는 클라우드 서비스의 안정성과 신뢰성을 평가해 부여하는 정부 인증으로, 민간기업이 공공기관에 클라우드 서비스를 공급하려면 필수적으로 획득해야 한다.

논리적 망분리는 보안상 업무망과 인터넷망을 분리할 때, 물리적으로 서버를 따로 두는 ‘물리적 망분리’와 달리, 소프트웨어(SW)로도 망분리 효과를 내는 것을 말한다.

그동안 CSAP를 획득하려면 반드시 물리적 망분리를 해야 했다. 이로 인해 해외에 서버가 있는 글로벌 클라우드서비스기업(CSP)들은 국내에 별도로 공공용 서버를 설치하지 않는 한 CSAP 획득이 어려웠고 따라서 공공 클라우드 시장 진출도 힘들었다.

이에 글로벌 CSP들을 중심으로 공공 클라우드 시장 진입장벽이 높다는 지적이 잇따르자, 과기정통부는 지난해 CSAP를 ‘상·중·하’ 등급으로 나눠 보안 수준이 가장 낮은 ‘하’등급에 대해서는 논리적 망분리를 허용하는 제도 개선을 시행했다.

하지만 글로벌 CSP들은 이에 만족하지 않고 ‘상·중’등급에 대해서도 논리적 망분리를 허용해달라며 정식 요청을 한 것이다.

BSA 등 해외 기업들은 국가보안과 국방 등 분야에 한해 물리적 망분리를 요구하는 다른 나라들에 비해 한국이 공공부문 전반에 물리적 망분리를 요구하는 과도한 규제를 하고 있다고 주장한다. 물리적 망분리는 가상 서버를 기반으로 언제 어디서나 서비스를 제공하는 클라우드의 장점도 무력화하는 조치라고도 지적한다.

과기정통부는 BSA의 의견서에 대해 “신중히 검토하겠다”는 입장이다. 과기정통부 관계자는 “관계부처와 논의가 필요하고 국내 기업들 의견도 들어봐야 한다”고 말했다.

다만 “‘하’등급은 공개 가능한 정보이니 논리적 망분리를 허용하고, ‘중’등급은 현 CSAP 체계 그대로 가면서, 국가행정 내부업무에 해당하는 ‘상’등급은 현재보다 요건을 강화하는, 그 기조에는 변함이 없다”고 덧붙였다.

당장 글로벌 기업들 요구를 정부가 수용하기는 쉽지 않을 것으로 보인다. 현재 과기정통부는 CSAP ‘상·중’등급의 세부기준을 담은 고시 개정을 추진 중이며, 이에 대한 행정예고는 이미 지난 2월26일로 끝난 상태다. 만약 행정예고한 고시 개정안에 변화가 생긴다면, 재행정예고를 하고 의견수렴도 다시 진행해야 한다.

정부가 발표한 ‘상·중’등급 세부기준을 보면, ‘상’등급은 외교·안보 등 국가의 중대한 이익과 관련한 내용을 다루거나 행정 내부업무를 다루는 시스템으로, ▲외부 네트워크 차단 ▲보안감사 로그 통합관리 ▲계정 및 접근 권한 자동화 ▲보안패치 자동화 등 4개 평가항목이 신설됐다. 여기서 외부 네트워크 차단이란 공공망 전용 데이터센터 등을 별도로 구성해 외부 인터넷과의 접속을 원천 차단해야 한다는 의미다.

국내 CSP들도 예의주시하고 있다. 이미 민간 클라우드 시장에서 상당 부분을 외산 CSP에 빼앗긴 이들로서는 공공 클라우드 시장마저 같은 처지가 될까 우려가 크다. 규정에 따라 물리적 망분리 투자를 완료하고 CSAP를 획득한 국내 기업들 사이에선 이런 투자 없이 규제 완화만 요구하는 외산 기업들에 대한 불만도 쌓여 있다.

국내 한 CSP 관계자는 “국내 업체들은 규정에 따라 선투자를 해서 준비를 다 갖춘 상태인데, 해외 업체들은 규정 준수도 않고 투자도 없이 자기들 원하는 대로 규제를 풀어달라고 하고 있는 것”이라며 “그렇게 되면 국내 업체들의 보안 준수 노력들은 무용지물이 되는 셈”이라고 꼬집었다.

또 다른 국내 업계 관계자는 “글로벌 기업들이 그런 요구를 할 것이라는 건 이미 예상했던 일”이라며 “‘상’등급은 강한 보안이 필요한 국가 내부행정 시스템들일 텐데, 여기에까지 물리적 망분리가 필요 없다고 하는 것은 과도한 요구사항 같다”고 평했다.