정부가 클라우드 보안인증제(CSAP)에 상·중·하 등급제 도입을 추진하는 가운데, 데이터 주권 보호 차원에서 면밀한 검토를 거쳐야 한다는 목소리가 나왔다. 제도 보완에는 공감하지만 그 영향도를 충분히 고려해 추진하자는 제안이다.
16일 오후 서울 여의도 국회의원회관에서 윤영찬 더불어민주당 의원실 주최로 '바람직한 클라우드 생태계 발전 방안' 토론회가 열렸다.
윤 의원은 “정부는 충분한 논의를 바탕으로 CSAP 개편을 진행하겠다고 했지만, 최근 국내 클라우드 업계의 충분한 의견 수렴 없이 CSAP 제도 개선이 강행되고 있어 매우 우려되는 상황”이라며 “정부의 일방적인 제도 추진이 국내 클라우드 업계에 대한 역차별로 작용하게 될 것”이라고 말했다.
발제를 맡은 나종회 광주대 교수는 “(CSAP 개정안은) 보안 위험이 상대적으로 낮은 경우 현행보다 완화된 보안기준을 적용해, 클라우드 사업자의 인증 부담을 낮추자는 논리이나 이러한 등급제로 변화는 데이터의 보안이나 데이터 주권 등과 관련된 문제를 야기할 수 있다”고 지적했다.
기정수 NHN클라우드 상무는 “무엇을 위해 누구를 위해 이렇게 서두르는지 심히 걱정된다”며 “흡사 과거 을사늑약이 국가의 주권을 내주게 된 시작점이었던 것처럼 이러다 우리나라의 데이터 주권에 큰 영향을 미치게 되는 시작이 아닌가 하는 심각한 우려의 생각도 갖게 된다”고 말했다.
소버린 클라우드 관점에서의 검토가 필요하다는 제안도 나왔다. 토론자로 참석한 윤대균 아주대 교수는 “데이터 주권에 대한 인식이 높아짐에 따라 자연스럽게 클라우드 주권을 강조하는 소버린 클라우드에 대한 관심이 높아지고 있다”며 “데이터 기밀성, 무결성, 가용성 관점에서 데이터에 대한 통제 권한이 중요한 만큼 일단은 매우 보수적으로 시작해 애자일하게 점진적으로 완화하는 방식이 바람직하다”고 언급했다.
엄열 과학기술정보통신부 인공지능기반정책관은 “하 등급의 논리적 분리 허용에 대해 데이터 주권 등 국내 서비스형 인프라(IaaS) 기업들의 우려를 잘 알고 있다"며 “이에 클라우드 시스템·데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가항목을 추가했으며, 이번 계기를 통해 공공 클라우드 시장 전반이 확대되도록 노력할 계획”이라고 밝혔다.
이어 “산업계 목소리를 바탕으로 클라우드 이용 수요 창출, 서비스형 소프트웨어(SaaS) 생태계 활성화, 국내 클라우드 서비스 제공사(CSP) 경쟁력 제고, 데이터센터 지원 등을 망라한 클라우드 산업 종합 지원대책을 올해 하반기에 마련하겠다”고 덧붙였다.
공론의 장 마련의 필요성도 제기됐다. 윤동식 한국클라우드산업협회장(KT클라우드 대표)은 “과기정통부뿐 아니라 행정안전부, 국가정보원, 사업자가 참여해 클라우드 보안인증·국가정보보안 기본지침에 대해 논의하는 위원회 또는 협의체 구성을 통해 충분한 의견수렴이 필요하다”고 역설했다.
송혜영기자 hybrid@etnews.com, 권혜미기자 hyeming@etnews.com
