[하이테크리포트] 말 많은 CSAP 등급제 개편...2개 열어 달라는 외국 기업, 1개 열겠다는 정부, 열지 말라는 국회
2022-10-18 00:05
국감 화두로 떠오른 CSAP 상·중·하 개편...정부·국회·기업 의견 갈려
과학기술정보통신부가 국내 클라우드 보안 인증인 '클라우드 보안인증제(CSAP: Cloud Service Assurance Program)'를 등급제로 개편하는 것을 두고 국내 클라우드 업계와 국회에서 성토의 목소리가 나온다. 과기정통부의 CSAP 개편이 CSAP 부재로 인해 지금까지 국내 공공 클라우드 시장에 진입하지 못한 외국 클라우드 업체들의 공공 시장 진입을 가능케 하고, 이것이 필연적으로 국내 클라우드 업체들의 경쟁력 약화를 불러올 가능성이 높다는 우려에서다. 하지만 단순히 인증과 불인증으로 나뉜 CSAP는 다양한 보안 목표와 데이터 통제 수준을 정의하고 이에 맞춰 클라우드 업체의 보안 능력을 등급별로 채점하는 글로벌 보안 인증과 비교해 경쟁력이 떨어지는 만큼 등급제 개편에 속도를 내야 한다는 목소리도 있다.
◆클라우드 보안, 인증제에서 상·중·하 등급제로 개편 예고
17일 IT 업계에 따르면 과기정통부는 지난 8월 CSAP 인증 요건을 개편하겠다고 밝힌 후 연구반을 가동, 인증과 불인증만 있는 기존 CSAP 제도를 1~3등급(상·중·하)으로 구분하고 등급별로 차등화된 보안인증 기준을 적용할 계획이다. 이르면 11월 중에 개편안이 나올 것으로 예상된다.
CSAP란 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률' 제23조 2항에 따라 국가가 지정한 인증기관(KISA)이 이용자 정보보호 기준의 준수 여부를 평가·인증하는 제도다.
정부·공기업·교육기관 등이 사용하는 공공 클라우드의 경우 CSAP 인증이 없을 경우 공급할 수 없다. 국내 클라우드 기업은 CSAP 인증의 핵심 요건인 물리적(하드웨어) 인프라 분리를 수행함으로써 CSAP 인증을 받았다. 반면 아마존웹서비스(AWS), 마이크로소프트, 구글클라우드 등 해외 클라우드 기업은 물리적 인프라 분리를 하지 않고 논리적(소프트웨어) 인프라 분리만 함으로써 CSAP 인증을 받지 못했다. 때문에 그동안 국내 공공 클라우드 시장에 참가하지 못했다.
물리적 분리란 민간 기업이 쓰는 클라우드 데이터센터와 공공이 쓰는 클라우드 데이터센터를 하드웨어(서버·스토리지·네트워크 등) 단계부터 완벽히 분리하는 행위를 말한다. 반면 논리적 분리란 민간과 공공이 하드웨어는 같이 쓰되 소프트웨어(가상머신·운영체제·컨테이너) 단계에서 분리함으로써 서로 데이터가 섞이는 것을 막는 기술이다.
이번 개편에서 논란이 되는 부분은 가장 낮은 '하' 등급이다. 물리적 분리를 강제했던 기존 CSAP와 달리 개편안의 하 등급은 논리적 분리만 해도 관련 인증을 받을 수 있도록 할 것으로 알려졌다.
실제로 지난 11일 정보통신산업진흥원 등 과기정통부 산하 6개 기관의 국정감사 현장에서 박윤규 과기정통부 제2차관은 "현재로서는 (CSAP를) 3등급제로 도입하되 하 등급에서 논리적 망 분리 여부만 검토하고 있다"고 말했다.
AWS를 위시한 해외 업체들은 CSAP가 보안 인증보다 해외 업체의 공공 시장 참여를 막는 무역 장벽의 역할을 한다며 제도의 폐지 또는 수정을 꾸준히 요구해왔다. 이를 의식한 듯 미국 무역대표부(USTR)는 '2022년도 국별무역장벽보고서'를 통해 CSAP를 한국 무역장벽의 대표적인 사례로 지목하기도 했다.
지난 7월에는 주한미국상공회의소(AMCHAM)가 과학기술정보통신부에 "글로벌 클라우드 기술 표준은 물리적으로 분리된 데이터센터 구축을 의무화하지 않는다. 논리적 분리만으로도 정부의 데이터 보안을 강화할 수 있다"는 내용의 공문을 보내기도 했다.
심지어 AMCHAM은 공문을 통해 "미국의 공공 보안인증제도인 'FedRAMP'는 연방정부 기관에만 적용되며 주정부(산하기관 포함)에는 적용되지 않는 만큼 정부뿐만 아니라 지방자치단체·학교·공사·공단에도 CSAP 인증을 의무화하는 한국의 제도는 사업자 간 차등을 발생시키고 있다"고 주장하며 △하 등급에만 적용할 예정인 논리적 분리를 중 등급으로 확대 △정부 산하 공공 의료·금융·교육 기관과 공사에 대한 CSAP 인증 면제 △CSAP 인증 필수 범위를 중앙행정기관으로 한정할 것 등을 요구하기도 했다.
다만 이러한 AMCHAM의 요구에 박윤규 차관은 "현재 검토하고 있지 않다"고 입장을 밝혔다.
◆클라우드 보안, 인증제에서 상·중·하 등급제로 개편 예고
17일 IT 업계에 따르면 과기정통부는 지난 8월 CSAP 인증 요건을 개편하겠다고 밝힌 후 연구반을 가동, 인증과 불인증만 있는 기존 CSAP 제도를 1~3등급(상·중·하)으로 구분하고 등급별로 차등화된 보안인증 기준을 적용할 계획이다. 이르면 11월 중에 개편안이 나올 것으로 예상된다.
CSAP란 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률' 제23조 2항에 따라 국가가 지정한 인증기관(KISA)이 이용자 정보보호 기준의 준수 여부를 평가·인증하는 제도다.
정부·공기업·교육기관 등이 사용하는 공공 클라우드의 경우 CSAP 인증이 없을 경우 공급할 수 없다. 국내 클라우드 기업은 CSAP 인증의 핵심 요건인 물리적(하드웨어) 인프라 분리를 수행함으로써 CSAP 인증을 받았다. 반면 아마존웹서비스(AWS), 마이크로소프트, 구글클라우드 등 해외 클라우드 기업은 물리적 인프라 분리를 하지 않고 논리적(소프트웨어) 인프라 분리만 함으로써 CSAP 인증을 받지 못했다. 때문에 그동안 국내 공공 클라우드 시장에 참가하지 못했다.
물리적 분리란 민간 기업이 쓰는 클라우드 데이터센터와 공공이 쓰는 클라우드 데이터센터를 하드웨어(서버·스토리지·네트워크 등) 단계부터 완벽히 분리하는 행위를 말한다. 반면 논리적 분리란 민간과 공공이 하드웨어는 같이 쓰되 소프트웨어(가상머신·운영체제·컨테이너) 단계에서 분리함으로써 서로 데이터가 섞이는 것을 막는 기술이다.
이번 개편에서 논란이 되는 부분은 가장 낮은 '하' 등급이다. 물리적 분리를 강제했던 기존 CSAP와 달리 개편안의 하 등급은 논리적 분리만 해도 관련 인증을 받을 수 있도록 할 것으로 알려졌다.
실제로 지난 11일 정보통신산업진흥원 등 과기정통부 산하 6개 기관의 국정감사 현장에서 박윤규 과기정통부 제2차관은 "현재로서는 (CSAP를) 3등급제로 도입하되 하 등급에서 논리적 망 분리 여부만 검토하고 있다"고 말했다.
AWS를 위시한 해외 업체들은 CSAP가 보안 인증보다 해외 업체의 공공 시장 참여를 막는 무역 장벽의 역할을 한다며 제도의 폐지 또는 수정을 꾸준히 요구해왔다. 이를 의식한 듯 미국 무역대표부(USTR)는 '2022년도 국별무역장벽보고서'를 통해 CSAP를 한국 무역장벽의 대표적인 사례로 지목하기도 했다.
지난 7월에는 주한미국상공회의소(AMCHAM)가 과학기술정보통신부에 "글로벌 클라우드 기술 표준은 물리적으로 분리된 데이터센터 구축을 의무화하지 않는다. 논리적 분리만으로도 정부의 데이터 보안을 강화할 수 있다"는 내용의 공문을 보내기도 했다.
심지어 AMCHAM은 공문을 통해 "미국의 공공 보안인증제도인 'FedRAMP'는 연방정부 기관에만 적용되며 주정부(산하기관 포함)에는 적용되지 않는 만큼 정부뿐만 아니라 지방자치단체·학교·공사·공단에도 CSAP 인증을 의무화하는 한국의 제도는 사업자 간 차등을 발생시키고 있다"고 주장하며 △하 등급에만 적용할 예정인 논리적 분리를 중 등급으로 확대 △정부 산하 공공 의료·금융·교육 기관과 공사에 대한 CSAP 인증 면제 △CSAP 인증 필수 범위를 중앙행정기관으로 한정할 것 등을 요구하기도 했다.
다만 이러한 AMCHAM의 요구에 박윤규 차관은 "현재 검토하고 있지 않다"고 입장을 밝혔다.
◆野 "외국 기업 빗장 열어줄 필요성 있나 의구심"...학계선 개편 찬성 목소리 커
이러한 상황에서 야당을 중심으로 과기정통부 개편안이 윤석열 정부의 규제 완화 기조에 맞춰 외국 클라우드 기업에 국내 공공 시장을 열어주기 위한 게 아니냐는 지적이 나오고 있다.
지난 4일 과기정통부 국감에서 박찬대 더불어민주당 의원은 "윤 정부 들어서 뜬금없이 CSAP 완화가 거론되고 있다. 인증 완화의 최대 수혜자가 AWS, 마이크로소프트, 구글, 오라클이 될 것이란 전망이 우세하다"며 "국제 무역은 호혜 원칙으로 진행되는 게 일반적이다. 미국 인플레이션 감축법(IRA)으로 수출에 의존하는 국내 기업의 타격이 예상되는 상황에서 인증 완화로 외국 기업에 빗장을 열어줄 필요성이 있는지 국민들이 의구심을 갖고 있다"고 말했다.
반면 학계에선 글로벌 보안 기준에 맞춰 CSAP 개편을 진행해야 한다는 목소리가 우세하다.
허신회 한양대학교 과학기술정책학과 겸임교수는 "국가 경제 전체 측면에서 무역으로 얻을 수 있는 이익을 고려해야 하며 특정 분야 기업과 산업 보호를 우선해서는 안된다. CSAP 개편으로 글로벌 사업자가 공공 시장에 참여하면 공공 기관의 선택 폭이 넓어지고 더 질 높은 서비스를 제공할 수 있게 될 것"이라며 "이를 토대로 디지털 플랫폼 정부를 성공적으로 구축함으로써 공공 클라우드 시장은 더 커질 수 있다. 그 이익을 국내 클라우드 기업도 공유하게 되는 선순환이 일어날 것"이라고 밝혔다.
IT 기술 분야 교수들도 시대 착오적인 획일적인 망 분리에서 벗어나 데이터 활용도에 기반한 합리적인 보안 평가 기준이 필요하다고 입을 모았다.
학계 출신인 이종호 과기정통부 장관은 "CSAP 개편은 보안 인증을 완화한다는 내용이 아닌 것으로 안다"며 "공공 클라우드 시장을 활성화하기 위해 더 정교한 보안 체계를 마련하는 형태"라고 말했다.
박윤규 차관도 "그동안 (인증·불인증이라는) 획일적인 기준을 갖고 있었기 때문에 공공에서 민간 클라우드 사용이 활성화되지 않고 있다는 업계 건의 사항을 듣고 미국 등 선진국처럼 CSAP를 데이터 중요도에 따른 보안 기준으로 바꿔 나가기로 정책 방향을 정한 것"이라며 "CSAP 개편으로 국내 클라우드 사업자(CSP) 가운데 서비스 지향 인프라(IaaS)뿐 아니라 서비스 지향 소프트웨어(SaaS) 업체도 글로벌하게 성장하는 토대를 마련하게 될 것"이라고 덧붙였다.
국내 클라우드 업체들도 개편 반대 일변도였던 기존 입장에서 벗어나 과기정통부가 공공 클라우드 사업을 위한 명확한 기준을 정하면 CSAP 등급제 개편을 수용할 수 있다는 입장으로 선회하고 있다. 다만 과기정통부 홀로 CSAP 개편을 진행하는 것이 아닌 클라우드 업체와 업계 전문가가 모두 참가하는 공청회를 열고 여기서 합의된 내용을 바탕으로 개편안을 마련해야 한다고 강조했다.
한 업체 관계자는 "이번 개편안의 가장 큰 문제는 과기정통부가 국내 클라우드 업체와 소통 없이 일방적으로 정책을 추진하는 것에 있다. 열린 공청회 대신 국내 업체들을 따로 불러 놓고 '개편하겠다'고 통보하고 그 외 정보 없이 내부에서 개편안을 만들 것이 아니라 지금이라도 업체들과 함께하는 공청회를 열고 모두가 만족할 수 있는 최선의 방안을 찾아야 한다"고 밝혔다.
다른 업계 관계자는 "정부 정책은 일관성이 중요하다. 클라우드 업체가 CSAP 인증을 받는 이유는 공공 시장을 보장해주기 때문이 아니라 불확실성은 있지만 진출 자격이 주어지기 때문이다. 공공 클라우드 시장의 가능성을 보고 선투자한 것이다. 중소기업 입장에선 CSAP 인증을 받는다는 것은 큰 투자 결정이다. 정부가 바뀔 때마다 등급제 개편 등 클라우드 정책이 바뀌면 이러한 투자를 결정한 기업 입장에선 허탈하고 사업 리스크가 될 수밖에 없다"고 말했다.
이러한 상황에서 야당을 중심으로 과기정통부 개편안이 윤석열 정부의 규제 완화 기조에 맞춰 외국 클라우드 기업에 국내 공공 시장을 열어주기 위한 게 아니냐는 지적이 나오고 있다.
지난 4일 과기정통부 국감에서 박찬대 더불어민주당 의원은 "윤 정부 들어서 뜬금없이 CSAP 완화가 거론되고 있다. 인증 완화의 최대 수혜자가 AWS, 마이크로소프트, 구글, 오라클이 될 것이란 전망이 우세하다"며 "국제 무역은 호혜 원칙으로 진행되는 게 일반적이다. 미국 인플레이션 감축법(IRA)으로 수출에 의존하는 국내 기업의 타격이 예상되는 상황에서 인증 완화로 외국 기업에 빗장을 열어줄 필요성이 있는지 국민들이 의구심을 갖고 있다"고 말했다.
반면 학계에선 글로벌 보안 기준에 맞춰 CSAP 개편을 진행해야 한다는 목소리가 우세하다.
허신회 한양대학교 과학기술정책학과 겸임교수는 "국가 경제 전체 측면에서 무역으로 얻을 수 있는 이익을 고려해야 하며 특정 분야 기업과 산업 보호를 우선해서는 안된다. CSAP 개편으로 글로벌 사업자가 공공 시장에 참여하면 공공 기관의 선택 폭이 넓어지고 더 질 높은 서비스를 제공할 수 있게 될 것"이라며 "이를 토대로 디지털 플랫폼 정부를 성공적으로 구축함으로써 공공 클라우드 시장은 더 커질 수 있다. 그 이익을 국내 클라우드 기업도 공유하게 되는 선순환이 일어날 것"이라고 밝혔다.
IT 기술 분야 교수들도 시대 착오적인 획일적인 망 분리에서 벗어나 데이터 활용도에 기반한 합리적인 보안 평가 기준이 필요하다고 입을 모았다.
학계 출신인 이종호 과기정통부 장관은 "CSAP 개편은 보안 인증을 완화한다는 내용이 아닌 것으로 안다"며 "공공 클라우드 시장을 활성화하기 위해 더 정교한 보안 체계를 마련하는 형태"라고 말했다.
박윤규 차관도 "그동안 (인증·불인증이라는) 획일적인 기준을 갖고 있었기 때문에 공공에서 민간 클라우드 사용이 활성화되지 않고 있다는 업계 건의 사항을 듣고 미국 등 선진국처럼 CSAP를 데이터 중요도에 따른 보안 기준으로 바꿔 나가기로 정책 방향을 정한 것"이라며 "CSAP 개편으로 국내 클라우드 사업자(CSP) 가운데 서비스 지향 인프라(IaaS)뿐 아니라 서비스 지향 소프트웨어(SaaS) 업체도 글로벌하게 성장하는 토대를 마련하게 될 것"이라고 덧붙였다.
국내 클라우드 업체들도 개편 반대 일변도였던 기존 입장에서 벗어나 과기정통부가 공공 클라우드 사업을 위한 명확한 기준을 정하면 CSAP 등급제 개편을 수용할 수 있다는 입장으로 선회하고 있다. 다만 과기정통부 홀로 CSAP 개편을 진행하는 것이 아닌 클라우드 업체와 업계 전문가가 모두 참가하는 공청회를 열고 여기서 합의된 내용을 바탕으로 개편안을 마련해야 한다고 강조했다.
한 업체 관계자는 "이번 개편안의 가장 큰 문제는 과기정통부가 국내 클라우드 업체와 소통 없이 일방적으로 정책을 추진하는 것에 있다. 열린 공청회 대신 국내 업체들을 따로 불러 놓고 '개편하겠다'고 통보하고 그 외 정보 없이 내부에서 개편안을 만들 것이 아니라 지금이라도 업체들과 함께하는 공청회를 열고 모두가 만족할 수 있는 최선의 방안을 찾아야 한다"고 밝혔다.
다른 업계 관계자는 "정부 정책은 일관성이 중요하다. 클라우드 업체가 CSAP 인증을 받는 이유는 공공 시장을 보장해주기 때문이 아니라 불확실성은 있지만 진출 자격이 주어지기 때문이다. 공공 클라우드 시장의 가능성을 보고 선투자한 것이다. 중소기업 입장에선 CSAP 인증을 받는다는 것은 큰 투자 결정이다. 정부가 바뀔 때마다 등급제 개편 등 클라우드 정책이 바뀌면 이러한 투자를 결정한 기업 입장에선 허탈하고 사업 리스크가 될 수밖에 없다"고 말했다.