클라우드 보안인증제, 내년으로 미뤄지나…국정원 요구에 '제동'

[이데일리 김현아 기자] 연초 데이터 주권 논란까지 불러일으켰던 ‘클라우드 보안인증 등급제(CSAP)’ 시행이 내년으로 연기될 전망이다. CSAP는 공공분야에서 민간 클라우드 도입을 촉진하기 위해 규제를 완화한 제도다.

그러나 아마존웹서비스(AWS) 등 외국계에 허용된 하등급도 논란이고, KT(030200)와 네이버(NAVER(035420)) 등 국내 회사들이 노리는 중·상 등급 역시 국가정보원의 실증사업 보안진단에 시간이 걸려 지연되고 있다.

[이데일리 문승용 기자]

중·상 등급 실증사업 마무리 지연

26일 업계에 따르면 과학기술정보통신부는 올해 1월31일 클라우드 보안인증 등급제(CSAP) 하등급을 우선 시행한 데 이어, 중·상 등급 시스템의 민간 클라우드 전환 시 보안성 검증, 보안인증 세부 평가기준 마련 등을 위해 실증사업을 추진했다.

과기정통부의 ‘회계분석시스템’과 ‘기업공감원스톱서비스’를 민간 클라우드로 전환하며, 테스트 베드를 구축해 제대로 되는지 확인한 것이다. 테스트 베드는 업무와 인터넷 영역을 분리하고, 필요한 보안 조치와 더불어 보안 관제까지 하도록 했다. KT(030200)·디딤365·한국JS데이터시스템즈가 참여했으며 예산은 9억9000만원이었다.

그러나 국정원이 실증 사업에 대해 보안진단을 하는 과정에서 제동이 걸렸다. 국정원은 실제 돌아가는 시스템상에서 모의침투를 하자고 제안했는데, 자칫 원래 시스템이 멈출까 우려한 과기정통부와 업계가 난색을 표한 것이다.

업계 관계자는 “국정원은 실제 시스템에서의 모의 침투를 요구하고 어디를 공격할지도 과기정통부에 알려주지 않은 걸로 안다”면서 “국정원 보안진단이 끝나야 중·상등급 세부 평가기준이 나오고 이를 기반으로 시장 진입을 준비할 수 있는데 현재로서는 내년으로 넘어가는 분위기”라고 말했다.

과기정통부는 국회에 지난 9월까지 테스트베드를 구축하고, 10월에 국정원 보안진단을 마친 뒤 11~12월에 고시를 개정하는 것으로 일정을 보고했지만 지연되고 있다. 과학기술정보통신부 관계자는 “연내 고시 개정에 노력하겠다”고 말했지만 내년 상반기나 돼야 공공 클라우드 시장에서 중·상등급 시행이 가능할 것으로 보인다.

하등급 풀렸지만 반발도

국내 기업들이 관심을 두는 중·상 등급 시행은 물론 연초 시행된 하등급 역시 인증사업자가 아직 없다. 글로벌 클라우드 기업인 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드 등이 하등급을 받기 위한 인증 절차를 진행 중인데, 국정원이 국내 보안적합성(CC)검증과 암호모듈검증 통과를 요구하면서 정체됐다.

글로벌 기업들은 CSAP 하등급이 요구하는 논리적(소프트웨어적) 망 분리를 충족했음에도 국정원이 국내 CC 검증과 국내 암호화 알고리즘 ‘아리아(ARIA)’와 ‘시드(SEED)’ 사용을 요구하는 것은 공공 클라우드 시장에 외국계 진입을 봉쇄하려는 조치라고 반발하고 있다.

이처럼 CSAP는 올 한해 논란만 남겼으며 실질적인 효과는 없었다. 내년에는 미국 무역대표부(USTR)와 주한미국상공회의소(AMCHAM·암참)를 통한 대정부 압박이 예상돼 국내 공공 클라우드 시장을 둘러싼 한·미 기업 간 갈등이 더 커질 것으로 보인다. 암참은 국내 CC가 아닌 국제 CC를 인정하고 중등급까지 논리적 망 분리를 허용할 것을 주장하고 있어 국내 클라우드 기업들로선 민간 시장에 이어 공공 시장까지 외국 기업에 내줘야 하는 상황이다.

국회 관계자는 이에 대해 “외국 클라우드 기업에 대해서는 어느 정도의 보안 대책이 필요한지에 대한 결정도 하지 않고 하등급을 서둘러 도입하고, 국내 기업들의 클라우드 시장 확대 의미가 있는 중·상등급 준비는 미흡했다. 어느 하나 제대로 된 것이 없다”고 비판했다.