상·중·하 등급제 도입이 골자인 클라우드 보안인증제(CSAP) 개정안이 협의에 난항을 겪고 있다.
서비스형 인프라(IaaS) 사업자 중심인 국내 클라우드 업계는 상·중·하 등급의 시범·실증을 동시 진행해야 한다는 입장인 반면에 과기정통부는 하 등급 우선 시행 후 상·중 등급 시범·실증에 착수하겠다는 원칙을 내세우면서 이견이 갈리고 있다.
과학기술정보통신부가 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안에 대한 의견을 청취하기 위해 지난 13일 '클라우드 보안인증 등급제 도입 관련 간담회'를 열었다.
간담회에는 NHN클라우드와 KT클라우드, 네이버클라우드, 메가존클라우드, 베스핀글로벌, 더존비즈온, 영림원소프트랩, 나무기술, 와탭랩스, 넥스트비즈 등 클라우드 사업자와 한국클라우드산업협회, 한국소프트웨어산업협회 관계자가 참가했다.
가장 첨예하게 대립하는 사안은 글로벌 기업 진입이 예상되는 '하' 등급 시행 시기다. 과기정통부는 상·중 등급은 시범·실증을 거친 뒤 시행하고 하 등급은 우선 시행할 계획이다. 시범·실증은 민간 클라우드 환경에서 보안 조치, 신기술 적용, 네트워크 접속 등을 측정하는 방식이다.
하 등급에 대해서도 시범·실증 사업이 필요하다는 지적이 제기됐다. 상·중 등급은 시범·실증을 거친 뒤 시행하고 하 등급은 우선 시행하는 부분은 역차별이라는 주장이다. 반대로 빠르게 CSAP 등급제 개편을 시행하고 이후에 개선하는 방향에 대한 업계 의견도 나왔다.
과기정통부는 하 등급을 우선 시행하고 이후 디지털플랫폼정부 및 관계부처와 함께 상·중 등급에 대한 시범·실증 사업을 추진해 연내 상·중 등급을 시행한다는 방침을 재차 밝혔다. 다만 하 등급 실증에 대해 적절성을 검토하겠다고 약속했다.
하 등급 적용 범위도 갈등 요소다. 하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템이다. 하 등급에 개인정보뿐만 아니라 신용정보를 포함하는 시스템도 제외가 돼야 한다는 목소리가 나왔다.
한편, 과기정통부는 '클라우드컴퓨팅서비스 보안인증에 관한 고시' 개정안을 18일까지 행정예고하고 1월 중 공포한다. 등급제가 시행되면 AWS, 마이크로소프트(MS), 알리바바 등 미국과 중국 클라우드 기업이 공공시장에 진출할 것으로 보인다. 이들이 가격 경쟁력과 민간 클라우드 시장 영향력을 앞세운다면 수년 내 공공시장 과반을 차지할 것이란 전망이 나온다.
권혜미기자 hyeming@etnews.com