정부, 암호정책수립 항목 신설
일정 수준 이상 보안정책 갖추면
개인정보 취급 가능으로도 읽혀
향후 유권해석시 논란 우려
'클라우드컴퓨팅서비스 보안인증(CSAP)에 관한 고시' 개정안 재행정예고가 30일 완료된다.
재행정예고 과정에서 하 등급에 없던 '개인정보' 내용이 새롭게 언급되는 등 논란의 소지는 남아있다.
과학기술정보통신부는 글로벌 클라우드 기업의 공공 시장 진입이 가능해지는 상·중·하 등급제를 도입했다. 이후 개정안 협의에 난항을 겪으면서 당초 18일까지던 행정예고 기간을 30일로 연장했다. 공포일은 31일이다.
하 등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 중 등급은 비공개 업무자료를 포함하거나 운영하는 시스템이다. 상 등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류한다.
하 등급 시스템에 대한 클라우드 보안인증은 고시 공포 이후 시행하고, 상·중 등급 시스템은 연내 시행한다.
클라우드 업계는 아직 해결 과제가 남았는데 일부 등급이 먼저 시행되는 점에 우려를 표시했다.
우선 기관이 바꿀 시스템에 어떤 등급이 적합한지 판단하는 분류기준과 절차가 명확하게 제시되지 않은 상황에서 하 등급 적용 범위가 갈등 요소로 남아있다.
특히, 과기정통부가 재행정예고에 '암호정책수립' 항목을 새로 추가하면서 하 등급에도 개인정보가 언급, 업계 우려가 커지고 있다.
재행정예고 개정안에는 “클라우드컴퓨팅서비스에 저장 또는 전송 중인 데이터를 보호하기 위해 암호화 대상, 암호 강도(복잡도), 키관리, 암호 사용에 대한 정책을 마련해야 한다. 또한 정책에는 개인정보 저장 및 전송 시 암호화 적용 등 암호화 관련 법적 요구사항을 반드시 반영해야 한다”는 내용이 추가됐다.
이를 두고 하 등급에는 '개인정보를 다루는 시스템이 포함될 수 없다'는 대전제가 있음에도 하 등급에 개인정보가 언급된 것은 개인정보를 다룰 수 있다는 해석이 가능하다는 지적이 나온다.
업계 관계자는 “마치 하 등급에서도 개인정보를 다룰 수 있지만, 대신 암호화 정책을 수립해야 한다는 식으로 해석될 수 있어 필요한 자의 입장에서 유권해석 시 빌미가 될 수 있다”며 “개인정보를 다룰 수 있는 문장 삭제가 필요하다”고 말했다.
과기정통부는 보안 우려에 대한 업계 요구에 따라 암호정책수립 항목을 추가했다는 입장이다.
과기정통부 관계자는 “암호정책수립 항목 자체를 업계에서 하 등급에도 보안을 강화해야 한다는 의견을 수렴해 추가한 것으로, 하 등급에는 개인정보가 없는 시스템만 포함된다는 기존 원칙이 깨질 일은 없다”며 “다만 상·중·하 등급을 나누는 건 국정원 소관”이라고 말했다.
상·중·하 등급 분류기준과 절차는 국가정보원과 행정안전부가 맡아 관리한다. 국정원·행안부가 상·중·하 등급 분류기준과 절차를 마련하면 각 기관은 그에 따라 해당 기관의 시스템 등급을 자체 분류해야 한다.
CSAP 고시 개정안은 시스템을 중요도에 따라 상·중·하 등급으로 구분하고, 하 등급은 글로벌 클라우드 기업에 문호를 개방한다는 게 골자다. 글로벌 클라우드 기업의 공공 시장 진입이 가능해져 국내 클라우드 사업자의 반발을 샀다.
권혜미기자 hyeming@etnews.com