[데이터넷] 국내 클라우드 서비스 제공업체(CSP)들이 정부의 클라우드 보안인증(CSAP) 등급제 시행에 반발하며 상·중·하 등급의 형평성 있는 진행이 필요하다는 입장을 내놨다. 상·중 등급은 실증을 진행하면서 하등급을 먼저 시행하는 부분은 분명한 역차별이며, 하등급에 개인정보뿐만 아니라 신용정보를 포함하는 시스템도 제외가 필요하다는 입장이다.

한국클라우드산업협회(회장 윤동식)는 국내 대·중소 CSP 기업들과 클라우드 보안인증 등급제 고시 개정안에 대한 논의를 시행한 결과 ▲클라우드 보안인증 상·중·하 등급 동시 시행 ▲클라우드 보안인증 전 등급에 대한 시범·실증 진행 ▲클라우드 보인인증 적용 범위의 명확화 ▲유관부처 및 사업자가 참여하는 공론의 장 마련이 필요하다고 밝혔다.

업계는 전 등급에 대한 동시 시행과 더불어 실증 필요성도 제기했다. 등급제 시행이 기술이나 보안 측면에서 어떤 결과를 초래할지 담보할 수 없는 상황이므로 실증에서 굳이 하 등급을 제외할 필요는 없으며, 하 등급 역시 부처 및 공공기관 데이터에 대한 안전성이 담보돼야 하기 때문에 실증이 필요하다고 강조했다.

무엇보다 클라우드 보안인증은 사업 자격이 아닌 보안 인증이므로 상·중·하 등급의 안정성을 파악하고 시행하는 것이 클라우드 보안인증 등급제 도입 취지에 부합한다고 입을 모았다.

아울러 클라우드 보안인증 적용 범위의 명확화가 필요하다는 입장으로 공공 클라우드 시장의 수요가 불확실한 상황에서 등급제 추진에 따른 상·중·하 등급별 시장 비율에 대한 세부 정보 및 등급제 추진 세부 계획도 필요하다고 밝혔다.

기존 클라우드 보안인증의 사업적 이슈는 클라우드 보안인증을 받은 클라우드 서비스가 어디까지 적용되지 알 수 없으며, 등급 세분화가 되면 적용 범위에 대한 모호성이 해소될 수 있을 것으로 예상했으나 등급제 추진에 대한 행정예고가 발표됐음에도 불구하고 적용 범위는 여전히 불확실하다는 의견이다.

의견 수렴기간을 거쳐 고시 공표 후 즉시 시행인데, 행정예고가 됐음에도 불구하고 사업자가 준비할 수 있는 부분이 아무 것도 없다는 것 또한 산업계의 어려움이라고 토로했다.

끝으로 유관부처 및 사업자가 참여하는 공론의 장(위원회 및 공청회 등)이 필요하다는 입장을 내놨다. 1월 하순에 클라우드 고시 개정 발령 및 국가정보보안 기본지침 시행 예정이므로 과학기술정보통신부뿐만 아니라 유관부처인 행정안전부, 국가정보원과 사업자가 참여해 클라우드 보안인증과 국가정보보안기본지침에 대해 논의하는 위원회 또는 협의체 구성을 통해 충분한 의견 수렴이 필요하다고 역설했다.

업계, 관계기관 등이 참여하는 간담회를 공개적으로 개최해 부처에서 클라우드 보안인증 등급제에 대한 명확한 방향을 제시하고, 클라우드 보안인증 등급제 및 관련 사안에 대해 충분히 의견을 수렴하는 공론의 장을 마련해줄 것을 요청했다.

한편 한국클라우드산업협회는 클라우드 보안인증 고시 개정안에 대해 회원사 대상으로 의견 수렴을 진행 중에 있으며, 기업들의 기술적·정책적으로 세밀한 검토 이후 의견을 제출할 예정이다. 이와 더불어 오는 10일 국내 기업 회원사(SaaS/PaaS/MSP) 대상 간담회를 개최해 실질적 공공시장 참여 확대 측면 등 고시 개정안에 대한 이야기를 들어볼 예정이다.

윤현기 기자 다른기사 보기