[아이티데일리] 클라우드 보안인증(CSAP)이 ‘상’, ‘중’, ‘하’ 3단계의 등급제로 개편된다. 그러나 구체적인 사안에 대해서는 시장에 떠도는 소문만 난무할 뿐 아무것도 정해지지 않은 상황이다.

정부는 확고한 CSAP 개편 의지를 갖고는 있지만, 국가 기술 경쟁력과 데이터 주권, 클라우드 산업 활성화에 큰 영향을 줄 수 있다는 판단아래 개편에 대한 세부사항을 쉽사리 규정하지 못하고 있다. 국내 클라우드 업계에서는 CSAP 등급제 개편이 국내 클라우드 산업에 미칠 영향을 고려해 업계의 의견을 수렴하는 등 신중해야 한다는 입장이다.

지난 8월 18일 정부는 브리핑을 통해 CSAP 개편과 관련해 부처 간 협의 사항은 없었으며 디지털플랫폼정부위원회에 관련 안건을 회부, 세부 내용을 정리하겠다고 발표했다. 국내 클라우드 산업 활성화를 위해 CSAP 등급제를 개편할 때 어떠한 점들이 고려되어야 하는지 짚어봤다.

 
CSAP 등급제, 디플정위원회로 회부

올해 8월 18일 정부는 클라우드 보안인증(CSAP)을 등급제로 개편한다고 공식 발표했다. 정부는 당시 브리핑을 통해 기존 서비스형 인프라(IaaS), 서비스형 소프트웨어(SaaS) 표준등급, SaaS 간편등급, 서비스형 데스크톱(DaaS) 등 유형에 따라 분류된 CSAP를 ‘상’, ‘중’, ‘하’ 3개의 등급으로 통합·개편한다는 내용을 처음 공개했다.

하지만 세부 사항을 결정하는 과정에서 과학기술정보통신부(이하 과기부)와 행정안전부(이하 행안부), 국가정보원(이하 국정원), 국무조정실(이하 국조실) 등 관계부처 간 잡음이 있었던 것으로 알려진다.

국내 클라우드 산업 활성화를 부처의 핵심 과제로 삼고 있는 과기부는 국내 클라우드 기업들의 ‘CSAP 등급제 개편 반대’에 관한 의견을 행안부와 국정원에 제시했지만, 정부·공공 데이터 보안성 확보에 방점을 찍고 있는 두 부처는 과기부의 주장을 수용하지 않았다고 한다. CSAP 등급제 개편에 대해 정부 부처 간 이견이 조율되지 못한 것이다.

CSAP 주관부처인 과기부는 결국 18일 브리핑에서 “CSAP 관련 세부 사안은 디지털플랫폼정부위원회(이하 디플정위원회)로 회부해 안건을 논의하겠다”고 발표했다. 이 과정에서 과기부가 합의되지 않은 사안인 등급 분류 기준(데이터 민감도 및 시스템 중요도)에 대한 내용을 브리핑에 추가해 타 부처로부터 비판을 받았던 것으로 알려진다.

현재 정부는 CSAP 등급제 개편과 관련한 논의를 디플정위원회로 넘겼다. 디플정위원회에는 고진 한국메타버스산업협회장을 포함해 인공지능(AI)·데이터·보안 등 디지털 기술 전문가 23명이 참여하고 있다. 구체적으로 민간위원 19명과 기획재정부·과기부·행안부 장관, 개인정보보호위원회 위원장 등 당‧연구직 정부위원 4명으로 구성돼 있다.

민간위원들은 △인공지능·데이터 분과, ‘네이버 하정우 클로바 AI랩 연구소장(분과장)’ △인프라 분과, ‘한국과학기술원(KAIST) 정보미디어경영대학원 오종훈 교수(분과장)’ △서비스 분과, ‘CJ올리브네트웍스 차인혁 대표(분과장)’ △일하는 방식 혁신 분과, ‘상명대 행정학부 김영미 교수(분과장)’ △산업 생태계 분과, ‘한국소프트웨어산업협회 조준희 회장(분과장)’ △정보보호 분과, ‘고려대 권헌영 정보보호대학원 교수(분과장)’ 등 6개 분과에서 활동하게 된다.

이중 CSAP 등급제와 밀접하게 연관이 있는 분과는 인프라 분과와 정보보호 분과라 할 수 있다. 업계의 주장을 종합하면 디플정위원회의 각 분과는 맡은 역할에 따라 과기부 친화적인 분과 2곳(AI·데이터 분과와 서비스 분과)과 행안부 친화적인 분과 2곳(인프라 분과와 정보보호 분과)이 있다.

업계에서는 민간 클라우드 활용 기조에 적극적이지 않은 행안부 친화적인 분과(인프라 분과와 정보보호 분과)가 CSAP 등급제와 밀접하게 관련돼 있다는 점을 들어 클라우드 산업 활성화가 아닌 공공의 정보시스템을 자체 구축하는 방향으로 CSAP 등급제 개편이 이루어질 것을 우려하고 있다.

업계의 한 관계자는 “현재 각 분과 내 민간위원과 기관 전문 위원을 추가 모집하고 의견을 취합하기 위해 위원들을 순환하는 방식으로 위원회가 구성될 수도 있을 것으로 보인다”면서, “위원회는 이달 중 조직 편성이 끝날 것으로 예상된다. 위원회가 어떠한 방식과 기조로 CSAP 등급제에 대해 논할지는 지켜봐야 한다”고 덧붙였다.

등급 분류 기준, 데이터 민감도 고려해야

국내 클라우드 업계에서는 CSAP 등급제 개편과 관련해 등급 분류 기준을 우선적으로 논의해야 한다고 주장한다. 지난 8월부터 진행된 취재 결과를 종합하면 CSAP 등급을 분류하는 기준을 두고 과기부와 행안부 사이에 기싸움이 있던 것으로 확인된다. CSAP 등급과 관련해 과기부는 데이터를 기준으로, 행안부는 현행 CSAP의 기준인 시스템 중요도에 따라 등급을 분류해야 한다고 주장한 것이다. 결정권을 갖고 있는 디플정위원회가 이 2가지 기준 중 어느 쪽 손을 들어줄 것인지에 관심이 모인다.

한편 CSAP 등급 분류와 관련, 행안부에서 먼저 시스템 중요도를 제시한 것으로 알려진다. 과기부는 이 같은 행안부의 주장에 대해 정부·공공기관 정보시스템의 민간 클라우드 활용이 저해될 것이라는 점을 들어 데이터 민감도를 중심으로 분류해야 한다는 점을 강조한 것으로 알려졌다.

현재 정부 부처와 디플정위원회에서는 등급 분류 기준을 두고 고심하는 모양새다. 국내 클라우드 업계에서는 정부의 데이터 공유 및 활용 기조를 근거로 데이터 민감도에 따라 CSAP 등급이 분류될 것으로 예측하고 있다.

실제 정부는 공공기관들이 갖고 있는 데이터를 민간의 다양한 서비스에 활용한다는 방침을 세우고 각종 데이터를 개방해 나가고 있다. 당연히 정부의 정책들은 데이터를 공유하고 활용하는 데 중점을 두고 수립되고 집행될 것이며 이를 구현하기 위해서는 클라우드 인프라가 사용될 것으로 예상된다. 클라우드의 등급을 판가름하는 기준이 데이터 민감도여야 한다는 것을 보여주는 대목이다.

국내 공공기관의 한 관계자 역시 미국의 페드램프(FedRAMP)를 예로 들며 데이터 민감도를 기준으로 CSAP 등급을 분류해야 한다고 주장했다. 정부가 CSAP 등급제를 검토하는 과정에서 미국의 페드램프를 채용했다면, 페드램프의 ‘높음’, ‘중간’, ‘낮음’ 구분 기준인 데이터 민감도를 따라야 한다는 것. 페드램프는 미 연방정부에서 데이터 민감도를 기준으로 정부‧공공시스템의 민간 클라우드 사용 여부를 판단하는 기준이 되고 있다.

페드램프는 데이터의 민감도에 따라 ‘매우 높음’과 ‘중간’, ‘낮음’ 등으로 구분된다. 단계별로 민간 클라우드 사업자에게 준수해야 할 보호조치를 제시한다. 예를 들어 ‘매우 높음’ 등급이라면 그에 해당하는 보호조치를, ‘중간’ 등급이라고 한다면, 중간 수준에 맞는 보호조치를, ‘낮음’ 등급이라면 낮음에 해당하는 보호조치 요건을 준수하면 된다. 쉽게 말해 정보시스템이 페드램프 ‘낮음’ 수준에 해당한다면, ‘낮음’에 대한 보호조치를 취할 수 있는 기업의 민간 클라우드를 사용할 수 있다는 것이다.

행안부에서 주장한 것과 같이 만일 시스템 중요도를 기준으로 CSAP 등급을 분류할 경우 공공 클라우드 시장에서 민간 클라우드 활성화는 어렵게 될 것으로 보인다.

현재 정부는 민간 클라우드 활용과 관련해 시스템 중요도에 따라 중요시스템과 비중요시스템으로 구분하고 있다. 홈페이지, DB와 무관한 소개 사이트 등은 비중요시스템으로 구분돼 ‘공공 정보시스템 클라우드 전환사업’을 통해 민간 클라우드로 이전하고 있다. 반면 국가 안보, 재판, 군사 등과 관련된 사항은 중요시스템으로 구분돼 민간 클라우드 사용이 금지돼 있다. 만일 CSAP 등급 분류 기준이 시스템 중요도로 판가름 된다면, 비중요 시스템의 비중이 낮아 민간 클라우드가 들어갈 자리가 줄어들게 된다는 의미이다.

업계의 한 관계자는 “지난 1월 클라우드 컴퓨팅 발전법이 개정됐다. ‘공공기관 및 정부 지자체의 민간 클라우드 이용을 확대하도록 권장한다’는 점이 강조됐으며 ‘CSAP를 받은 클라우드를 적극 활용해야 한다’는 내용이 추가됐다”면서, “내년 1월부터 클라우드 컴퓨팅 발전법이 발효가 될 예정인 상황에서 시스템 중요도를 CSAP 등급을 분류 기준으로 채택한다면 클라우드 컴퓨팅 발전법의 의미가 퇴색될 것이다. CSAP 등급 분류 기준은 클라우드 컴퓨팅 발전법과 맞물려가야 한다. 이를 위해서는 시스템 중요도가 아닌 데이터 민감도가 CSAP의 등급을 분류하는 기준이어야 할 것”이라고 강조했다.

한편, 데이터 민감도와 시스템 중요도 모두를 기준으로 삼아야 한다는 목소리도 있다. 한 관계자는 “궁극적으로 사용하기 편리하고 안전한 클라우드 보안요건을 정의하는 차원에서 논의된다면, 흑백논리로 어느 한쪽을 선택하는 것은 바람직하지 않다”고 말했다.