[디지털데일리 권하영기자] 정부가 새로운 사이버보안 체계인 ‘다층보안체계(MLS)’를 발표하면서, 기존 클라우드보안인증(CSAP) 제도와의 중첩 우려가 커지고 있다.

각기 다른 보안 규제로 부담이 커지게 된 사업자들은 서둘러 구체적인 방향성이 나오길 바라고 있지만, 쉽지만은 않아 보인다. MLS를 추진하는 국가정보원(이하 국정원)과 CSAP 소관부처인 과학기술정보통신부(이하 과기정통부)간 사이버보안 정책의 주도권을 둘러싼 문제기도 한 탓이다.

16일 정부와 관련업계에 따르면 국정원은 연내 MLS 정책을 확정할 계획이다.

MLS는 국가 정보시스템을 업무 중요도에 따라 ▲기밀(C, Classified) ▲민감(S, Sensitive) ▲공개(O, Open)로 분류해 차등적인 보안을 적용하는 것이 특징이다. 정부의 망분리 완화 기조에 따라 사이버보안 체계를 새롭게 확립하기 위해 국정원이 공을 들이고 있는 핵심 정책이라 할 수 있다.

문제는 공공 클라우드 분야에선 이미 유사한 제도가 있다는 점이다. 현행법상 공공기관 정보시스템에 대해서는 클라우드보안인증(CSAP)을 충족하는 클라우드 서비스만 제공될 수 있다. 최근에는 CSAP도 등급제가 시행되면서, 시스템 중요도에 따라 ▲상 ▲중 ▲하 등급으로 나누고 있다.

클라우드 사업자들 사이에선 국정원의 MLS가 과기정통부의 CSAP와 혼용되면서 이중으로 요건을 갖춰야 하는 것인지 혹은 CSAP 자체가 무용지물이 되는 것은 아닌지 혼란이 뒤따르는 상황이다. CSAP를 획득하기 위해 최대 수억원 비용과 평균 1년 이상 시간을 투입하는 이들 입장에선 심각한 문제다.

국정원은 일단 MLS 관련 세부 사항이 아직 나오지 않았다는 이유로 말을 아끼고 있지만, MLS 도입에 따라 CSAP 제도를 어떻게 재정비할지 논의에 착수한 단계로 알려졌다. 일각에선 CSAP가 더 포괄적인 MLS에 대체되는 수순을 밟지 않겠냐며 CSAP 제도의 존속이 불투명하다는 전망까지 내놓는다.

물론 과기정통부는 그 가능성을 일축하고 있다. 과기정통부 관계자는 “CSAP는 말 그대로 클라우드에 대한 보안인증이고, MLS는 망분리 차등을 위한 분류체계”라며 “MLS에 대한 세부 보안 기준이 나오면 그중 클라우드와 관련된 보안 내용은 CSAP에 반영되겠지만, CSAP가 없어지거나 완전히 바뀌는 것은 아니다”라고 선그었다.

하지만 MLS와 CSAP의 관계를 둘러싸고 양측의 해석은 묘하게 다른 눈치다. 최근 클라우드 관련 모 정책협의회에 참석한 업계 관계자는 “과기정통부는 CSAP 자체가 클라우드컴퓨팅법이라는 법률로서 만들어진 제도인데 MLS와 비교되는 게 당혹스러운 눈치”라며 “반면 국정원은 CSAP가 기초적으로 갖춰야 할 인증이라는 의미 정도로 축소하고 있는 상황”이라고 분위기를 전했다.

분명한 것은 정부가 이에 대해 구체적인 방향성을 내놓기 전까지는 발주기관과 사업자들간 혼란만 가중될 것라는 점이다. 한 클라우드서비스제공사(CSP) 관계자는 “기업 입장에서 보안은 곧 투자의 문제기도 하기 때문에 빠른 의사결정이 가능하도록 정책 방향을 명확하게 공유해줬으면 한다”고 말했다.

국회에서도 정부 차원의 교통 정리가 필요하다는 지적이 나오고 있다. 국회 과학기술정보방송통신위원회 소속 이해민 의원(조국혁신당)은 지난 과기정통부 국정감사에서 ISMS-P, CSAP, MLS 등 각각의 보안인증을 ‘누더기 상황’이라고 표현하며 “중장기적 방향성을 먼저 제시하는 게 필요하다”고 꼬집은 바 있다.