"공공 클라우드 보안인증 '등급제' 도입…해외 기업에 과중한 요구 아냐"

과기정통부, 소프트웨어 업계와 간담회
SW기업들 보안 인증 어려움 호소
클라우드 보안 인증(CSAP) 다변화 예고, 등급제 도입 추진
연내 SW 전략물자 관리 가이드라인 마련

등록 2022-06-30 오후 7:09:01

수정 2022-06-30 오후 8:56:55
가 가

[이데일리 김국배 기자] 정부·공공기관에 클라우드 서비스를 제공하기 위해 받아야 하는 클라우드 보안 인증(CSAP)이 다소 완화될 전망이다. ‘등급제’를 시행해 보안 인증을 다변화하겠다는 것이다.

과학기술정보통신부는 30일 박윤규 2차관 주재로 진행한 국내 소프트웨어(SW) 업계와 ‘제2차 디지털 국정과제 연속 현장 간담회’에서 이런 내용을 공유했다. ‘SW산업의 질적 도약을 위한 국내 SW 기업의 성장과 해외 진출 지원 방안’을 주제로 열린 이날 간담회는 3시간 넘게 이어졌다.

박윤규 과기정통부 제2차관이 30일 오후 서울 강남구 한국타이어빌딩에서 열린 ‘제2차 디지털 국정과제 연속 현장 간담회’에서 소프트웨어 기업 성장과 해외 진출 지원 방안을 논의하고 있다. (사진=과기정통부)

데이터 중요도에 따라 ‘등급’ 분류

공공 부문 클라우드 보안 인증 제도는 등급제로 개편된다. 구체적인 내용이 마련된 것은 아니지만, 데이터 민감도에 따라 ‘등급’을 분류해 상대적으로 민감하지 않은 서비스 등에 대해서 지금보다 완화된 기준을 적용하겠다는 것이다.

설재진 과기정통부 사이버침해과장은 “클라우드 인증을 다변화할 필요성에 대해선 관계부처도 공감하고 있다”며 “그 부분을 어떤 식으로 구체화할지 협의를 하고 있는 상태”라고 말했다.

그러면서 “결국 클라우드 위에서 사용되는 서비스나 데이터의 중요도 등에 따라 등급을 분류해야 할 것”이라며 “빠른 시일 내에 구체화된 안을 마련하려 한다”고 덧붙였다.

이날 간담회에 참석한 기업들 사이에서는 클라우드 보안 인증으로 인한 어려움을 호소하는 목소리가 적잖이 나왔다. 특히 데이터베이스(DB) 분리 규정과 관련해 이선웅 클라우다이크 대표는 “클라우드는 아파트를 지어서 전기세 등 관리비를 아끼고 효율화하자는 것인데, CSAP 인증은 무조건 단독 주택을 만들라는 것”이라고 지적했다.

“해외 기업에 과중한 요구 아냐”

다만 공공 부문 보안 인증이 ‘장벽’이 되고 있다는 글로벌 클라우드 기업들의 주장에 대해선 선을 그었다. 아마존웹서비스(AWS) 등 글로벌 클라우드 기업들은 이 인증이 공공 클라우드 시장의 장벽이 되고 있다며 문제삼고 있다.

설 과장은 “저희가 볼 때 (공공과 민간 서비스용 인프라의) 물리적 분리 요구는 해외 인증에서도 일부 하고 있다”며 “좀더 검토를 해봐야겠지만 해외에서도 일부 요구되는 것이라면 ‘국내에서만 과중하게 요구하는 것은 아니지 않나’라고 판단하고 있다”고 말했다.

문제는 AWS 클라우드 위에서 서비스형 소프트웨어(SaaS)를 제공하는 국내 기업까지 덩달아 진입이 어려운 점이 있다는 것이다. 이와 관련해선 “물리적 분리 요건이 어느 정도 완화되느냐에 달려 있는 부분”이라며 “등급을 분류하게 되면 가장 낮은 등급에서는 기술적 요건들을 최대한 완화하려고 (관계부처들과) 협의하고 있는 상황”이라고 했다.

박운규 2차관은 “클라우드 환경에 맞지 않는 보안 인증 기준, 방식은 신속하게 개선해 나가겠다”며 “다만 그 내용은 아직 부처간 협의가 완비된 것이 아니기 때문에 오늘 이 자리에서 말씀드리긴 어렵다. 빠른 시일 안에 방침을 정하고 개선해 나가겠다는 정도로 이해해주시면 좋을 것 같다”고 말했다.

연내 SW 전략물자 관리 가이드라인

과기정통부는 연내 SW 분야 전략 물자관리 제도에 대한 가이드라인도 마련할 방침이다. 전략물자 관리 제도는 무기 등으로 전용될 수 있어 국제 수출통제 체제 원칙에 따라 수출 허가 등 제한이 필요한 물품, SW·기술 등의 수출을 통제하는 것이다.

정부는 무기 등으로 전용될 수 있어 국제수출통제체제 원칙에 따라 국제평화 등을 위해 수출허가 등 제한이 필요한 물품, SW·기술의 수출을 통제하고 있다. SW 수출 시 산업통상자원부의 허가가 필요하다. 위반시 7년 이하의 징역 또는 물품 등 가격의 5배 이하 벌금을 내야 한다.

오영수 영림원소프트랩 부사장은 “어떤 기술이 전략물자로 분류되는지, 전략물자로 분류된 기술의 수 출허가를 받기 위해서는 무슨 절차를 밟아야 하는지 잘 아는 기업이 많지 않을 것”이라며 “자사도 말레이시아에서 사업을 전개하면서 수출 준비를 거의 마친 상태에서 뒤늦게 알게 돼 적잖이 고생했다”고 말했다.