클라우드 보안인증제(CSAP) 개선 방안 논쟁이 뜨겁다.
CSAP는 공공기관에 안전성 및 신뢰성이 검증된 클라우드 서비스를 공급하기 위해 2015년 제정됐다. 한국인터넷진흥원(KISA)이 인증을 담당하며 현재 60여개 업체가 인증을 취득한 상태다.
CSAP 제도 가이드북에 따르면 총 14가지 통제 기준을 두고 있다.
그동안 외국업체는 공공부문에 대한 추가 보안 요구 사항인 '물리적 보호조치'와 한국 공공부문 시장만을 위한 별도의 암호기술인 '기술적 보호조치' 개선을 지속 요구해 왔다.
논쟁의 발단은 지난해 7월 국가정보원이 현재 단일 인증인 CSAP를 미국의 보안인증 제도인 '페드램프'(FedRamp)처럼 복수 인증으로 다양화하는 방안을 고민하고 있다고 발표한 데서 기인한다.
상·중·하 등급 중 '하 등급'은 대민서비스 영역에 적용, 글로벌 클라우드 서비스 제공자(CSP)의 참여 허용을 시사했다.
글로벌 사업자가 규제라고 주장하는 '물리적 망 분리'의 핵심은 대한민국 주요 데이터를 물리적 공간에서 관리한다는 것을 의미한다. 그 대안으로 제시하는 '논리적 망 분리'는 데이터가 어디에 저장(해외에 저장)되더라도 괜찮음을 의미한다.
여전히 외국 CSP 사업자에 고전하고 있는 국내 CSP의 반발이 있지만 논쟁은 크게 다섯 가지 되짚어 보아야 한다.
첫째 과연 물리적 망 분리가 유일하거나 우수한 대안인가 하는 점이다. 이미 제도적으로 그렇게 인식하고 있지 않은 듯하다. 코로나19가 한창이던 2020년 2월 금융위원회는 재택근무 직원에 한해 물리적 망 분리 예외를 인정했다. 행정안전부는 2021년 지방자치단체의 사이버 보안 수준 강화 전략을 제시하면서 논리적 망 분리를 허용한다고 밝혔다.
둘째 CSAP 등급제가 국내 민간 서비스형소프트웨어(SaaS) 시장을 발전시킬 것인가의 문제다. 논리적 망 분리는 주요 외국 업체가 채택하고 있는 실질적 국제표준이어서 국내 클라우드 관리서비스제공사(MSP)나 SaaS 기업이 이 기반 위에서 서비스를 제공하는 실적을 쌓는 것이 외국시장 진출에 도움이 될 수 있다.
셋째 타격이 가장 클 것으로 예상되는 서비스형인프라(IaaS)를 담당하는 국내 CSP 기업이 고사할 것인가의 문제다. 이미 공공부문의 보호정책에도 민간시장 점유율의 지속 부진을 고려하면 차라리 국내 CSP 업체도 최근 떠오르고 있는 MSP로의 확장을 유도하는 기회로 삼는 것이 나을 수도 있다.
더욱이, 국내 CSP 업체가 외국 진출시 외국정부도 똑같은 물리적 망분리를 요청할 경우 대응논리가 없다는 점에서도 차제에 자신들의 비즈니스 모델을 되짚어보고 새로운 전략을 강구하는 계기로 삼는 것이 바람직해 보인다.
넷째 데이터 보안 요구 수준 평가가 과연 안정적이고 절대적인가 하는 문제다. CSAP 기반이 되는 페드램프를 살펴보면 데이터 보안이 높은 영향 수준(High Impact Level)을 '기밀성·무결성 또는 가용성의 손실이 조직의 운영 또는 자산이나 개인한테 매우 심각하거나 치명적인 영향을 미칠 수 있음'으로 정의하며 여전히 주관적인 판단을 요구하고 있다.
클라우드 사업자의 신뢰성이 보장되면 정부가 그 기업의 클라우드에 보안 요구 수준이 높은 데이터도 맡길 수 있다는 규정을 두고 있는 것을 보면 데이터 보안 요구 수준 평가에도 사업자의 능력 평가가 동반되어야 함을 알 수 있다.
마지막으로 CSAP의 세계무역기구(WTO) 원칙 위배 여부다. 상반된 주장과 다툼이 있기 때문에 국익을 위하여 적절한 입장을 개발해야 할 것이다.
국내 공공부문 시장을 무조건 외국 기업에 개방하자는 주장은 아니다. 일본·유럽연합(EU) 정부처럼 데이터 주권주의에 입각해 다양한 요구사항을 전제할 수 있다. 외국 사업자에 데이터 제어 및 소유권이 국내 고객에 있다는 사실, 국내 규정 위반 시 정부가 강력한 징벌적 손해배상을 요구할 수 있다는 사실을 주지시키거나 페드램프처럼 수요 기관에 여전히 물리적 망 분리 추가 요청 권리를 허용해서 수요자의 보안 요구가 철저하게 보장받도록 수요자의 재량권을 여전히 남겨 놓는 것이 좋을 것이다.
그러나 국제 IaaS 시장의 75% 이상을 4대 글로벌 기업이 차지하고 있는 현실을 무시한 정책은 보호주의라는 오명뿐만 아니라 국내기업 경쟁력 제고, 더 나아가 소비자 편익에도 도움이 되지 않는다. 결국 이 모든 제도가 국내 클라우드 산업 육성과 클라우드 사용자 보호라는 대명제를 위한 의사결정임을 잊지 말아야 할 것이다.
양희동 이화여대 경영대 교수 hdyang@ewha.ac.kr
-
안호천 기자기사 더보기