[취재수첩] MLS 도입, 국내 클라우드 생태계 미칠 영향 숙고해야
[디지털데일리 권하영기자] 정부가 망분리 완화에 따른 새로운 사이버보안 체계로서 ‘다층보안체계(MLS, Multi Level Security)’ 도입을 예고했다. 공공분야 기술혁신 진입장벽으로 지목되던 ‘망분리’ 빗장이 풀리게 되는 만큼 IT 업계 관심이 높다.
그동안 공공과 금융 등 보안 민감도가 높은 분야에선 내·외부 네트워크 망을 반드시 물리적으로 분리해야 하는 망분리 규제가 일괄적으로 적용돼 왔는데, 이 때문에 인공지능(AI)과 클라우드(SaaS) 등 혁신기술 도입을 저해한다는 지적이 많았다.
MLS는 국가 정보시스템을 ▲기밀(C, Classified) ▲민감(S, Sensitive) ▲공개(O, Open) 등 3가지 등급으로 분류해 보안 수준을 달리함으로써, 상대적으로 보안 중요도가 낮은 등급에선 보다 유연한 데이터 활용을 가능케 하는 것이 핵심이다.
아직 구체적인 그림까진 나오지 않았지만 안보·국방·외교 등 민감한 분야에 적용될 C등급에선 기존의 물리적망분리를 유지하고, 나머지 S등급 이하로는 소프트웨어(SW)로 가상의 망분리 효과를 내는 논리적망분리가 허용될 가능성이 점쳐진다.
망분리 개선 필요성을 제기하는 목소리는 수 년 전부터 있었기에 결코 빠르다고 할 순 없겠지만, 이번 MLS 로드맵은 망분리 개선을 위한 정부의 정책 방향과 실행 의지를 담고 있는 만큼 규제 완화 출발점으로서 분명한 의의가 있다.
다만, 새로운 MLS에 맞춰 공공 사업을 전개해야 하는 클라우드 업체들 사이에선 우려가 조금씩 나온다. MLS가 국내 클라우드 생태계에 미칠 영향이 적지 않은 만큼, 세부 기준을 마련하는 과정에서 면밀한 검토가 필요한 부분들이 있다.
첫째, 등급 쏠림 현상이 발생하지 않도록 해야 한다. 정보시스템을 C·S·O 등급으로 분류하는 주체는 각 공공기관인데, 일선 기관에서 정보보호 책임을 최소화하기 위해 방어적인 태도로 상위 등급에 분류하려는 부작용이 있을 수 있기 때문이다.
정부는 과도한 상위 등급 분류를 방지하기 위해 등급별 분리를 권고하겠다는 방침이지만, 결국 등급 기준이 모호하다면 ‘눈 가리고 아웅’이 될 수밖에 없다. 따라서 등급 분류에 대한 세부 기준을 세밀히 짜는 한편, 사후평가 체계를 확실히 해야 한다.
둘째, 현행 클라우드보안인증(CSAP) 제도와의 중복 문제를 해결해야 한다. CSAP는 공공부문에 클라우드 서비스를 공급할 때 획득해야 하는 인증 요건으로, 상·중·하 3개 등급으로 나뉜다. 현재는 하등급에서만 논리적망분리가 허용돼 있다.
사업자 입장에선 이미 비용을 들여 CSAP를 획득했는데 또 다른 보안 체계가 등장한 셈이라 불안감이 크다. 아직은 CSAP와 MLS가 어떻게 연계되는지 불명확한 상황으로, 관계부처들은 중첩된 제도들을 서둘러 재정비해 불확실성을 줄여줄 필요가 있다.
셋째, MLS 도입 이후 외산 클라우드 진입 가능성에 따른 영향을 잘 살펴봐야 한다. 그동안 외산 클라우드 업체들은 해외에 서버가 있어 물리적망분리가 어려운 이유로 국내 공공 시장에 진입하지 못했는데, 여기에 일대 변화가 생기는 것이기 때문이다.
앞서 CSAP의 경우 시스템 중요도에 따라 등급을 매기고 그 중에서도 1개 등급(하)에서만 망분리를 해제했다면, MLS는 데이터 중요도를 기준으로 하는데다 2개 등급(S·O)에서 망분리가 완화되는 거라 외산 업체들의 진입 범위가 한층 넓어질 수 있다.
그간 CSAP 획득을 위해 상당한 망분리 투자를 해온 국산 업체들 입장에선 역차별이란 볼멘소리가 나올 수밖에 없다. 이들 대부분은 공공 클라우드 사업 수행 자격을 얻기 위해 인프라와 네트워크에 대한 보안 및 인력 투자를 누적해 온 게 사실이다.
물론 외산 진입을 무작정 막을 순 없겠지만, 공공 시장을 주력으로 성장해온 국산 클라우드 업체들이 글로벌 빅테크들과의 경쟁에서 밀려날 경우 설 자리 자체가 사라질 수 있다는 점에서 어느 정도 공생 여건을 마련할 필요가 있다는 지적도 이해된다.
정부는 연내 ‘국가 망보안정책 개선 TF’에서 각계 의견수렴을 거쳐 MLS 로드맵을 최종 확정할 방침으로, 본격적인 정책 시행은 내년이 될 것으로 예상된다. 남은 시간 동안 제도의 연착륙과 부작용 최소화를 위해 업계 목소리를 충분히 반영하길 바란다.
'모바일 신분증'으로 휴대폰 개통 못 한다…소비자 불편 가중
2024-12-23 09:18:42MBK, '국가핵심기술 기업' 해외매각 우려 여전히 쟁점… 고려아연 M&A, 정부 역할 필요↑
2024-12-22 19:52:35스트레스 완충자본 규제 유예… 한시름 놓은 은행권, 기업금융 고삐죌까
2024-12-22 14:06:20심각한 노인빈곤율…"면세자에 대한 환급형 세액공제 도입해야"
2024-12-22 12:38:24