[디지털데일리 권하영기자] 국가정보원이 공공시스템에 대한 새로운 보안체계를 도입하기로 하면서 국내 클라우드 시장에 미칠 영향이 주목된다.

지난 11일 국가정보원(이하 국정원)은 서울 강남구 코엑스에서 개최된 ‘사이버 서밋 코리아(CSK) 2024’에서 공공부문에 적용하는 새로운 사이버보안체계로서 ‘다층보안체계(MLS, Multi Level Security)’로 전환하기 위한 로드맵을 발표했다.

MLS는 국가 전산시스템에 대해, 보유한 정보의 중요도에 따라 ▲기밀(C, Classified) ▲민감(S, Sensitive) ▲공개(O, Open) 등 3등급으로 분류하는 것이 골자다.

각 등급에 따라 민감 정보는 보안성을 강화하고 덜 민감한 정보는 필요에 따라 데이터 공유를 원활하게 할 수 있도록 차등적인 보안체계를 정립하는 것이다. 이는 인공지능(AI)과 클라우드 등 신기술 혁신에 뒤처지지 않도록 망분리 규제 완화를 추진하고 있는 정부 정책 기조에 따른 것이기도 하다.

따라서 중요도가 높은 C등급에선 기존의 물리적망분리를 포함한 강력한 보안체계가 유지되겠지만, S와 O등급에는 논리적망분리 기술 적용이 허용될 가능성도 있다. 다만 아직 구체적인 보안요건과 분류지침은 나오지 않은 상황이다.

이를 두고 국내 클라우드 업계에는 불안감이 감돈다. 국정원이 MLS 시행으로 S와 O등급에선 민간 클라우드를 허용하는 방침을 밝히면서, 외산 클라우드 업체의 공공 시장 진입 가능성이 가시화됐기 때문이다.

주로 해외에 서버가 있는 외산 클라우드 업체들은 업무망과 인터넷망을 분리하는 물리적망분리를 국내에서 구현하기 어렵기 때문에, 소프트웨어(SW)로 가상의 망분리 효과를 내는 논리적망분리를 공공 클라우드 시장에도 허용해 달라고 요구해 왔다.

현행 제도상 공공부문에 클라우드 서비스를 제공할 때 획득해야 하는 인증요건인 클라우드보안인증(CSAP)은 상·중·하 3개 등급 중 하등급에서만 논리적망분리를 허용했다. 하지만 MLS에서 만약 2개 등급에 대해 논리적망분리가 가능해지게 되면, 외산 진입이 기존보다 더 광범위하게 허용될 수 있는 것이다.

따라서 가장 쟁점인 S등급의 구체적인 보안요건이 무엇인지, 세부적인 분류지침을 어떻게 만들 것인지가 추후 MLS 로드맵의 관건이 될 것으로 예상된다.

이와 별개로 정부의 클라우드 보안 규제가 계속 늘어나는 상황에 대한 우려도 읽힌다. 클라우드 업계 한 관계자는 “사실 사업자 입장에서 이미 CSAP 제도가 있고 국정원 가이드라인도 있는 상황에 또 다른 규제가 추가되는 셈”이라며 “정부 가이드가 혼재돼 있어 서로 충돌하는 경우 혼선이 너무 크다”고 전했다.

한편, 국정원은 연내 ‘국가 망보안정책 개선 TF’에서 각계 의견수렴을 거쳐 MLS 로드맵을 최종 확정하겠다는 방침이다. 본격적인 정책 시행은 내년이 될 것으로 보인다.