정부가 새로운 보안체계인 '다층보안체계(MLS)'를 발표하면서 클라우드 보안인증(CSAP) 제도에 대해선 구체적 방향을 제시하지 않아 업계가 혼란을 겪고 있다. 정부는 내년 상반기 중 CSAP 존속 여부를 결정한다는 방침이지만, 기업들은 빠른 정책 결정을 요구한다.
3일 업계에 따르면 CSAP 제도를 둘러싸고 관련 기업들 사이에서 불안감이 높아졌다.
한 CSAP 컨설팅사 대표는 “국가정보원(국정원)은 새로운 보안인증 체계에 맞춰 CSAP에도 변화를 주겠다고 발표했지만 구체적 일정이나 방향 등이 전혀 제시되지 않아 불확실성이 크다”면서 “공공 시장 진출을 위해 CSAP 획득을 준비하던 상당수 기업이 어떻게 대처해야 할지 몰라 불안해하는 상황”이라고 말했다.
국정원은 지난달 11일 새로운 보안 체계인 'MLS 전환 로드맵'을 발표했다. MLS는 시스템을 업무 중요도에 따라 기밀(C), 민감(S), 공개(O) 3등급으로 분류하고 등급별 차등 보안 통제를 통해 보안성 확보와 데이터 공유를 동시에 달성하는 것이 골자다.
국정원은 올해 말 이 정책을 확정지은 후 CSAP를 비롯해 기존 보안체계 역시 새롭게 구성한다는 계획이다. 업계는 CSAP 존속 여부에 촉각을 곤두세운다.
CSAP는 공공 시장에 진출하기 위한 필수 요건이다. 2016년 KT가 처음 서비스형 인프라(IaaS) 부문에서 CSAP를 발급받은 후 지난 8년간 140여건에 달하는 서비스가 CSAP를 획득했다.
업계 관계자는 “CSAP는 인증서를 획득하기까지 평균 1년 이상 시간과 최대 수억원 가량 비용이 소요되는 클라우드 핵심 인증제도”라며 “만약 국정원이 CSAP를 없애는 방향으로 정책을 결정한다면 그동안 투자와 비용은 물거품이 되고, 새로운 인증을 받기 위한 노력이 필요해 업계 부담은 커질 수 밖에 없다”고 말했다.
CSAP를 유지하되 MLS에 맞춰 일부 변경하는 경우를 비롯해 어떤 경우에도 업계 불확실성은 클 수밖에 없다. 신규로 CSAP를 받으려는 기업, 외국계 기업들도 혼란스럽기는 마찬가지다. 업계는 정부가 CSAP를 비롯한 클라우드 보안 관련 정책을 조속히 마련해주길 희망했다.
국내 한 클라우드 서비스 제공사(CSP) 대표는 “공공 발주자조차도 CSAP가 어떻게 바뀔 지 몰라 혼란스러워하는 상황”이라면서 “빠른 정책 결정이 이뤄져야 현장 혼란을 줄일 수 있다”고 말했다.
국정원 관계자는 “연내 MLS 정책을 확정한 뒤, 공공 클라우드와 CSAP 등 연관 정책 개정을 내년 상반기까지 마무리할 계획”이라면서 “'국가 클라우드 컴퓨팅 보안 가이드라인'을 우선 수정·보완한 후 CSAP 정책도 개정·보완 작업을 진행할 것”이라고 말했다.
김지선 기자 river@etnews.com, 조재학 기자 2jh@etnews.com
