외산 클라우드, 공공 진출 길 열린다

CSAP 개정안 시행 임박
논리적 망분리 부분적 완화
하등급 고시 공포 이후 시행
국내기업 "데이터 주권 상실"

외산 클라우드, 공공 진출 길 열린다

외산 클라우드 기업의 국내 공공시장 진출 길이 열린다.

클라우드컴퓨팅서비스 보안인증(CSAP)을 시스템 중요도에 따른 상·중·하 등급제로 변경하는 고시 개정안이 곧 공포·시행된다. 개정안은 '논리적 망 분리'를 부분 허용함에 따라 미국·중국 등 해외 클라우드 기업 공공시장 진출이 가능해졌다.

과학기술정보통신부는 '클라우드컴퓨팅서비스 보안인증(CSAP)에 관한 고시' 개정안 재행정예고가 30일 종료됨에 따라 개정안을 공포할 방침이다. 하 등급 시스템에 대한 클라우드 보안인증은 고시 공포 이후 시행한다.

하 등급 시스템에 대해서는 민간·공공 영역 간 '물리적 분리' 요건을 완화, '논리적 분리'를 허용한다. 국내에 리전을 보유한 글로벌 클라우드 기업도 민간·공공의 물리적 분리 없이 논리적 분리만으로 공공 서비스가 가능해졌다.

상·중·하 등급 분류기준과 절차는 국가정보원과 행정안전부가 마련하고 관리한다. 각 기관은 그에 따라 해당 기관의 시스템 등급을 자체 분류해야 한다.

국내 클라우드 업계는 하 등급에 글로벌 기업이 공공에 들어오게 될 경우에 데이터 주권 약화, 민간에 이어 공공 시장에서의 외산 클라우드 독점 등을 이유로 들며 반발했다.

공정거래위원회에 따르면 2019~2021년 3년 동안 국내 클라우드 시장에서 아마존웹서비스(AWS) 점유율은 70% 안팎으로 가장 높다. 여기에 마이크로소프트(MS)와 구글을 더하면 80%가 넘을 것으로 보인다.

해외 클라우드 기업은 지금껏 공공부문 진출을 미뤄왔다. 공공 진출 필수 관문인 CSAP가 글로벌 스탠다드와 상충한다는 이유로 인증을 받지 않았다. 이번 등급제 개편으로 해외 클라우드 기업의 공공 진출이 예상된다.

국내 기업 사이에서는 데이터 주권 상실에 대한 우려 목소리가 커진다. 정부 행정력이 미치지 못하는 데이터 영역이 존재할 가능성이 있다는 판단에서다.

하 등급에 대한 보안 우려 등 논란이 지속되자 과기정통부는 당초 18일까지 예정했던 개정안 의견수렴 기간을 30일까지 연장했다. 재행정예고에서는 업계 의견을 일부 반영, 하 등급에 대한 보안성을 강화할 수 있도록 평가 항목을 보완했다.

30일 재 행정예고 완료 직전 업계는 새로운 개정안에 대한 의견을 취합해 과기정통부에 전달했다. 재 행정예고에 언급된 개인정보 부분과 무결성 관련 항목에 대해 건의했다. 특히, 재 행정예고에 '암호정책수립' 항목을 새로 추가, 하 등급에도 개인정보가 언급되면서 제기되는 업계 우려를 전했다. 이와 관련 과기정통부는 해당 단어를 조정·변경해 반영할 방침이라고 밝혔다.

업계 관계자는 “고시는 시행하지만 그대로 집행을 못할 가능성이 커 불확실성이 확대될 것”이라며 “서비스형 인프라(IaaS) 기업은 상·중·하 등급 분류기준과 절차가 구체적으로 제시되지 않아 불안하고, 서비스형 소프트웨어(SaaS) 기업 입장에서는 하 등급 인증이 기존 SaaS 간편 인증과 어떤 관계인지 등이 명확하지 않아 답답한 상황”이라고 말했다.

권혜미기자 hyeming@etnews.com