정부, 공공부문 클라우드 보안인증 규제완화, 국내 클라우드업계 반발
공공정보 가장 많을 ‘하’ 등급서 물리적 망분리 대신 논리적 망분리 허용
“덕분에 민간 클라우드시장 장악한 AWS 등 공공부문도 석권” 우려
[중소기업투데이 조민혁 기자] 국내 클라우드 업계가 발칵 뒤집혔다. 클라우드 제공업체(CSP)들에 대해 보안인증제(CSAP)를 실시하고 있는 정부가 이번에 공공 부문 클라우드 보안의 규제를 대폭 완화하면서 아마존(AWS) 등 외국업체들이 국내 공공클라우드 시장을 장악할 것이란 비판과 우려가 쏟아지고 있다. 중소기업들도 최근엔 외부 클라우드 업체에 의존하는 경향이 늘어나고 있어, 이번 논란은 산업계에도 적잖은 영향을 끼칠 전망이다.
이미 국내 민간 클라우드 시장은 AWS가 60% 이상, MS가 약 15%, 그리고 구글이 네이버와 비슷한 수준으로 외국업체들이 독과점하고 있는 실정이다. 그런 가운데 금년부터 정부가 공공부문에도 민간 CSP들의 클라우드를 사용할 수 있게 하면서 클라우드 보안인증제(CSAP)의 수준을 크게 낮추었다. 이로 인해 상대적으로 이들 글로벌 업체들의 진입 장벽이 크게 낮아지게 된 것이다.
이번에 과기정통부가 내놓은 ‘클라우드 보안등급제’ 관련 고시 개정안의 핵심은 CSAP 체계를 우선 ‘상, 중, 하’ 세 등급으로 나누고, 그 중 ‘하’ 등급의 규제를 유독 큰 폭으로 완화시킨 것이다. 이에 따르면 ▲민감 정보를 포함하거나 행정 내부업무 운영 시스템(상등급) ▲비공개 업무자료를 포함 또는 운영하는 시스템(중등급) ▲개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템(하등급)으로 나누었다.
그 중 고시 공포 직후 시행되는 ‘하’ 등급 시스템에 대한 클라우드 보안인증이 논란 거리가 되었다. 논란의 핵심은 두 가지다.
우선 ‘상’·‘중’등급과 달리 ‘하’등급 시스템에 대해서는 ‘논리적 망분리’가 허용된다는 점이다.
현재는 클라우드 네트워크에서 정보 유출 등을 막기 위한 보안 대책은 사내․외용에 따라 별도 기기나 서버를 두거나(물리적 망 분리), 하나의 기기에 역시 사내와 대외 인터넷접속용 SW를 별도로 구분, 설치하는 ‘논리적 망 분리’가 있다. 국내 공공부문 클라우드 보안인증은 일단 물리적 망 분리를 원칙으로 하고 있다.
그러나 이번 개정안에선 ‘하’ 등급에 대해선 논리적 망 분리도 허용하기로 했다. 그 동안 지리적 한계로 인해 국내에 ‘물리적 망 분리’가 불가능했던 AWS 등은 공공 클라우드를 노리고, 그 동안 집요하게 ‘논리적 망 분리’를 요구해왔다. 즉, 가상 클라우드 서버를 활용해 서버 안에서 망을 분리시켜 놓겠다는 기술적 대안이 그것이다. 주로 해외에 서버가 있는 글로벌 사업자들은 물리적 망 분리가 어렵다는 점에서 논리적 망분리 허용은 곧 공공 클라우드 사업 기회가 열리는 것이다.
그렇잖아도 민간 클라우드 시장을 석권하고 있는 이들이 다시 공공클라우드 시장까지 섭렵할 가능성이 커지자, 국내 클라우드 업계가 들고 일어났다. 이들은 “이라다간 국가의 중요한 정보나 공공데이터가 해외 글로벌 기업들에게 무더기로 빠져나가고, 국내 CSP들은 큰 타격을 입을 것”이란 주장이다.
업계는 특히 ‘하’ 등급은 사실상 ‘개인정보’ 유무를 제외하곤 ‘상’과 ‘중’등급 CSAP의 대상 범주와 별 차이가 없을 것으로 보고 있다. 또 그 대상이 되는 공공데이터의 분량은 ‘하’ 등급이 가장 많다고 추정한다. 게다가 ‘상’, ‘중’ 등급은 다양한 의견 수렴 후 오는 9월쯤에 실시하는데 비해, ‘하’ 등급만은 고시 시행 직후부터 바로 적용된다는 점에서 업계의 반발을 부르고 있다.
한국클라우드산업협회는 정부의 발표 직후 이에 반발하고 나섰다. 협회는 무엇보다 클라우드 보안인증제(CSAP) 개정안 시행에 있어 상·중·하 등급 동시 진행을 촉구했다. 특히 과학기술정보통신부가 고시 개정안을 18일까지 행정예고하고 1월 중 공포하되, ‘하’ 등급 시스템에 대한 클라우드 보안인증은 고시 공포 이후 시행하고, ‘상·중’ 등급 시스템은 연내 시행할 예정이라고 해 더욱 다급하게 되었다.
한국클라우드산업협회는 5일 별도 입장을 통해 “클라우드 보안인증 등급제 관련 상·중 등급은 시범·실증을 거친뒤 시행하고 하 등급은 우선 시행하는 부분은 역차별”이라며 “상·중·하 등급의 시범·실증을 동시 진행해주길 요청한다”고 했다. 또 “하 등급에 국내기업도 참여할 수 있는 만큼 시범사업이나 실증 사업을 먼저 진행할 필요가 있다”면서 “(업계의 대응책이 강구된 가운데) 9월부터 상·중·하 등급 동시 진행되어야 한다”고 강조했다.
협회는 또 “정부가 상·중·하 등급 전체 시장대비 비율을 밝혀야 한다”고 촉구했다. ‘하’ 등급에서 논리적 분리를 허용하는 만큼 전체 공공부문 클라우드 시장 중에서 ‘하’ 등급에 포함되는 정보의 비중이 어느 정도인지 공개돼야 한다는 주장이다. 이는 ‘상·중’보다 ‘하’ 등급에 속하는 고급 정보가 사실상 압도적일 것이란 추측에서 나온 우려다.