[아이티데일리] 행정안전부가 ‘행정기관 및 공공기관 정보자원 통합기준 고시’를 지난달 8일 개정했다. 고시에는 민간 클라우드 서비스 제공사(CSP)의 IDC에서 운영되는 공공시스템에 대한 현장점검이 가능하다는 내용이 들어가 있다. 국내 클라우드 기업들은 과도한 규제와 상위법에 맞지 않는 기준, IDC 이용 민간 고객 재산권 침해 등을 우려하고 있다.

행안부가 행정예고한 고시에서 문제가 되는 부분은 제15조다. 행안부 고시에 따르면, 제15조 ‘행정기관 등의 장은 해당기관 및 그 소속 기관이 보유하거나 이용하는 정보시스템 운영시설을 매년 별표 3(정보시스템 운영시설 안정성 점검기준 7개 분야, 67개 항목)에 따라 점검하고 그 결과를 3월 31일까지 범정부 EA 포털에 등록하여야 한다’와 ‘행정안전부 장관은 제1항에 따른 점검 결과를 검토하고, 필요시 현장점검을 실시할 수 있다’는 내용이 신설됐다. 행정·공공기관에서 보유하거나 이용하는 정보시스템 운영시설을 점검하고 정부가 운영하는 범정부 EA 포털에 등록 및 관리한다는 것이 골자다.

국내 클라우드 업계에서는 이같은 행안부의 고시 개정에 대해 우려의 시선을 보내고 있다. 먼저 민간 클라우드 기업을 향한 과도한 중복 규제라는 점을 지적한다.

‘행정기관 및 민간 기업 등이 이용하는 데이터센터에 대한 안정성 및 재난 관리/감독 강화 등을 위한 3법(전기통신사업법, 방송통신발전 기본법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률)’, 국정원의 ‘국가정보보안 기본지침’ 및 과기부의 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 등 이미 3가지 규정이 적용 중인 상황에서 민간 CSP의 서비스를 이용하는 정보시스템을 행안부가 또 직접 점검할 수 있게 된 것이다.

이렇게 될 경우 민간 IDC를 이용하고 있는 민간 고객과 IDC 운용 기업의 재산권을 침해할 수 있을 뿐만 아니라, 상위 법률(전자정부법) 위임 범위에도 위반된다는 지적이 나온다. 먼저 행정기관의 정보가 저장되거나 행정시스템을 위한 행정기관 운용 공공 데이터센터가 아닌 민간 고객·기업의 정보통신 설비로 구성되는 민간 운용 데이터센터까지 행안부에서 보안을 이유로 관리·감독하게 된다는 것이다. 민간 기업이 보유한 재산권을 과도하게 침해할 수 있다는 우려가 제기된다.

또한 상위법인 전자정부법과도 ‘정보자원’의 범위면에서 충돌된다. 현행 전자정부법 제2조(정의) 제11호에서 규정하는 정보자원의 범위는 ‘행정기관 등이 보유하고 있는 자원’이다. 하지만 ‘법’보다 하위에 있는 ‘고시’에서 ‘행정기관 등이 보유하거나 이용하는 정보자원’으로 규정하게 되면 상위 법률에서 위임한 규제 범위를 벗어나게 된다는 것이다. 아울러 CSP IDC에 대한 행안부와 과기부 간 점검/관리 주도권 문제도 발생할 여지도 존재한다.

한 클라우드 기업 관계자는 “행안부의 미션이 보다 안전한 행정·공공기관의 정보시스템 이용이라는 점은 알고 있다. 하지만 이미 존재하는 규제들만으로 민간 사업자들이 위축된 상황에서 고시 개정을 통해 추가 규제가 이뤄진다면 기업들의 공공 클라우드 비즈니스에는 큰 허들로 작용할 것”이라면서 “디지털플랫폼정부위원회가 민간 클라우드 이용 활성화 방향을 내세우며 공공 비즈니스 활로가 뚫리다시피 했지만, 행안부의 고시 개정으로 재차 막히게 됐다”고 우려했다.