[디지털데일리 김보민기자] 국가정보원(이하 국정원) 주도 다층보안체계(MLS)가 내년 시행을 앞두고 있는 가운데, 업계에서는 혼선이 이어지는 분위기다. 새 보안체계가 도입되면 클라우드보안인증(CSAP)과 같은 기존 인증제도가 무용지물이 되거나, 공공에 진출하려는 기업에 이중 부담이 가해질 수 있다는 우려도 제기된다.

국정원을 비롯한 관계 기관은 MLS와 기존 인증제도의 제도적 성격이 근본적으로 다르기 때문에, 실제 영향은 미미할 것이라는 입장이다. 다만 업계가 체감하는 공감 수준은 높지 않아, 당분간 보안체계 전환에 대한 갑론을박이 이어질 전망이다.

5일 관련 업계에 따르면 국정원은 MLS 도입에 대한 공감대를 형성하기 위해 유관기관을 비롯해 학계, 산업계, 연구계와 소통을 이어가고 있다. 민간 기업과도 워크숍 등을 통해 의견을 수렴하고 있는 것으로 전해진다. 국내 보안기업 관계자는 "데이터 분류를 비롯해 추후 고려해야 하는 요건이 있어, 내부에서도 전체적인 정책 방향을 살펴보고 있다"고 밝혔다.

그러나 업계 안팎에서는 MLS와 기존 인증체계를 혼동하는 모습도 두드러지고 있다. MLS는 국가 정보시스템을 업무 중요도에 따라 기밀(C)·민감(S)·공개(O) 등급으로 분류해 차등적인 보안을 적용하는 것이 특징인데, 기존 CSAP 제도와 혼용될 가능성이 거론된 탓이다. CSAP 또한 최근 등급제가 시행되면서 시스템 중요도에 따라 상·중·하로 나뉘고 있다.

특히 CSAP 인증을 획득하기 위해 수억원대 비용을 투입하고 1년 이상 시간을 쏟아야 한다는 점을 고려했을 때, 공공 사업을 하려는 사업자가 MLS 요건만 채우는 데 집중할 수 있다는 관측도 나온다. 여기에 국정원은 기존 '공공분야 클라우드 보안 기준'을 C·S·O 등급과 연동되도록 세부 내용을 개편할 계획이라, 대대적인 변화가 예상된다.

MLS 도입을 준비하고 있는 관계 기관에서는 새 보안체계 시행에 따른 영향이 크지 않을 것이라는 입장이다. 본질적인 목적을 고려했을 때, CSAP는 민간 클라우드 서비스의 보안 기능과 수준을 인증하는 자격제도이고 국정원 클라우드 보안검증은 국가와 공공기관에 클라우드를 도입할 때 적합 여부를 검증하는 제도라는 취지다.

MLS와 CSAP만 놓고 봐도 근거 법령이 달라, 새 보안체계 도입 이후 CSAP가 폐지되거나 MLS에 흡수될 가능성도 없을 것으로 보고 있다. 기존과 같이, CSAP 인증을 받은 클라우드 서비스는 공공분야에 진출할 때 국정원 보안성 검토에서 공통 인증 기준을 중복 검증 없이 인정을 받을 수도 있다. 업계 관계자는 "MLS와 CSAP를 하나가 등장하면 하나가 사라지는 대체재가 아닌, 상호보완적 관계로 볼 필요가 있다"고 말했다.

그러나 CSAP가 공공 보안 정책과 일부 연계돼 있어, 영향이 절대 없을 것이라고 단정 지을 수 없다. 클라우드 보안인증 고시에는 국가 기관 등이 이용하는 클라우드컴퓨팅서비스 보호조치에 대한 내용을 담고 있는데, 여기에는 클라우드컴퓨팅서비스 구축에 보안 기능 정보통신제품을 도입할 때 국가정보원장이 안전성을 확인한 제품을 사용해야 한다는 내용이 담겨 있다.

결국 MLS 시행에 대한 업계 인식을 끌어올리는 것이 관건이 될 전망이다. 국정원은 내년 정책 시행에 앞서 국가 망보안정책 개선 태스크포스(TF)를 필두로 보완 작업을 추진하고, 각계 전문가와 협의체 등을 통해 의견을 수렴할 예정이다. 추후에는 ▲공공데이터의 외부 인공지능(AI) 융합 ▲인터넷 단말의 업무 효율성 제고 ▲업무환경에서의 생성형 AI 활용 ▲외부 클라우드 활용 업무협업 체계 ▲업무 단말의 인터넷 이용 ▲연구 목적 단말의 신기술 활용 ▲개발 환경 편의성 향상 ▲클라우드 기반 통합 문서체계 등 추진 과제를 통해 MLS 전환을 안착할 계획이다.

한편 일각에서는 실제 MLS 체계 전환까지 시간이 소요될 수 있다는 전망이 나온다. 특히 데이터를 C·S·O 등급으로 분류하는 작업이 말처럼 쉽지 않은 데다, 하위 등급 분류에 따른 보안 사고에 책임을 지려는 담당자 또한 많지 않아 난항이 예상된다는 관측도 있다. 업계 관계자는 "내부적 영향을 살펴보되, '당장' 영향이 있을 것으로 보지는 않는다"고 분위기를 전했다.