클라우드 보안인증제(CSAP; Cloud Service Assurance Program)가 기존 단일 인증에서 업무 중요도에 따라 상·중·하로 세분된다. 과학기술정보통신부는 안보·외교·수사 등 국가 이익을 침해할 수 있는 중요 분야는 '상'(High), 현재 인증을 받는 수준의 중요도는 '중'(Moderate), 대민서비스 등은 '하'(Low)로 분류하는 방안에 대해 의견을 수렴했다. 외형상 미국의 클라우드 보안 인증제도인 '페드램프'(FedRAMP)와 유사하다.
'하' 등급 인증으로는 물리적 분리뿐만 아니라 논리적 분리도 허용하는 계획도 제시했다. CSAP가 클라우드 시스템이나 데이터의 물리적 위치를 국내로 한정하고, 서버나 네트워크 등 물리 자원은 일반 서비스와 분리해서 운영하도록 제한하는 것을 완화하기 위한 조치다.
개편 방안이 현실화되면 대민서비스를 중심으로 국내에 리전을 둔 글로벌 CSP의 공공 분야 진출이 쉬워진다. 서버나 네트워크 등 물리 자원을 가상화 기술로 일반 서비스와 논리적으로 분리, CSAP '하' 등급 인증을 받을 가능성이 커지기 때문이다. 단, 대민서비스 중 기관 내부 시스템과 연계되는 서비스는 대상에서 제외하는 방향을 검토 중인 것으로 알려졌다. 보안성을 강화하기 위한 조치로 풀이된다.
정부는 이르면 올 3분기, 늦어도 올해 안에 CSAP 인증 개편을 마무리할 계획이다. 정부는 규제 완화를 이유로 CSAP 완화를 추진하고 있다.
그러나 국내 일부 클라우드업체는 대민서비스를 시작으로 글로벌 업체의 공공시장 진출이 늘어날 것이라며 반대하고 있다. 일부에서는 “미국과 중국은 클라우드 주권을 지키려는데 우리는 왜 반대로 가려고 하는지 의문”이라면서 “국내 산업을 보호해야 할 정부가 쉽게 문을 열어 주려는 게 아쉬울 따름”이라고 말했다. 통상 이슈 등으로 개방이 불가피하다면 전문가 협의체를 구성해서 신중하게 논의해야 한다는 게 이들 업체의 입장이다.
안호천기자 hcan@etnews.com