국가정보원(국정원)이 국내 클라우드 기업에게 공공 분야 고객 현황 제출을 요구했다. 클라우드 보안성을 직접 확인하겠다는 뜻이다.
27일 ICT 업계에 따르면, 국정원은 국내 클라우드 서비스 제공사(CSP)들에 고객사 이름과 고객 수 등을 종합 정리해서 알려달라는 협조 공문을 보냈다. 답변 기한은 이달 28일이다.
국정원이 요구한 고객사 이름과 고객 수 등은 공공 분야(정부, 공공기관)로 제한됐다. 다만 정부가 출자한 출연연구기관(출연연) 및 대학 등도 포함됐다.
국정원이 국내 CSP들을 대상으로 공공 고객 현황 제출을 요구한 것은 이례적이다. 선례가 없다.
공공 시장에 진출한 국내 대표 CSP는 네이버클라우드, KT클라우드, NHN클라우드, 카카오 엔터프라이즈, 삼성SDS 등이다.
국정원이 경영상 기밀 사항에 해당하는 공공 고객 현황을 파악하려는 것은 클라우드 보안을 점검하려는 목적으로 해석된다.
국정원은 기존에 갖고 있던 CSP별 공공 고객사 명단과 이번에 취합한 정보를 대조할 것으로 보인다. 이를 토대로 클라우드 보안 가이드를 제대로 따랐는지 직접 점검할 계획이다.
실제 국정원은 일부 공공 기관과 규모가 작은 출연연 등에서 클라우드 보안 가이드라인을 미수행한 정황을 포착한 것으로 전해졌다.
클라우드 업계에서는 국정원의 이번 조치에 의견이 엇갈린다. 긍정적으로 보는 쪽은 아마존웹서비스(AWS)와 마이크로소프트, 구글 등 해외 CSP가 공공 분야에 진출하고, 망분리가 완화되는 추세에 대응하기 위해 국정원이 국가 안보와 보안 관제 등을 강화하려는 의도로 해석했다.
한 CSP 관계자는 “정부는 공공 정보시스템 중요도에 따라 클라우드 보안인증(CSAP)을 상·중·하로 나누고, 하 등급에 논리적 망분리를 허용했다”면서 “외국계 CSP가 공공 시장에 진입할 발판이 마련된 것인데, 국정원이 보안성을 강화할 경우 해외 CSP사들을 견제할 장치도 마련될 것”이라고 전망했다.
부정적인 목소리도 높다. 결국에는 어떤 식으로 국내 CSP사들에 불똥이 튈지 모르는데다 이번 요구가 협조 형태를 가장한 강제 조치라는 점 때문이다.
다른 CSP 관계자는 “국정원이 국내 CSP들을 상대로 통제권을 강화할 가능성을 배제할 수 없다”면서 “국정원에서 요구해 정보를 전달할 수밖에 없었다고 고객사에 말하기도 애매한 상황”이라고 말했다.
류태웅 기자 bigheroryu@etnews.com
