‘하’ 등급 암호화 정책 수립·시큐어 코딩 구현·백업 데이터 위치 지정 등 보강
재행정예고 기간 끝나면 실증 없이 ‘하’ 등급 우선 시행…업계 반발 여전
재행정예고 기간 끝나면 실증 없이 ‘하’ 등급 우선 시행…업계 반발 여전
[데이터넷] 클라우드 보안인증(CSAP) 등급제 시행 예고에 따른 업계의 반발이 거세지자 정부가 업계의 의견을 좀 더 청취하겠다는 입장으로 한발 물러났다.
과학기술정보통신부는 ‘클라우드컴퓨팅서비스 보안인증에 관한 고시’ 일부개정안을 재행정예고한다고 밝혔다. 기간은 이달 30일까지다.
일부개정안에는 그간 클라우드 업계 및 전문가들의 지적을 수용해 논란이 많았던 ‘하’ 등급 시스템에서 보안성을 강화할 수 있는 조치들이 보강됐다. 초기에는 빠져 있었던 암호화 정책 수립과 시큐어 코딩 구현 등이 ‘하’ 등급에도 적용되며, 클라우드 시스템과 데이터뿐만 아니라 백업 시스템의 물리적 위치도 국내로 한정해야 함을 명시했다.
시스템 격리, 영역 분리에 대한 내용도 새롭게 신설해 기술적 보호조치를 강화했다. 다만 ‘상’·‘중’ 등급은 실증을 거쳐 추후 시행하고, ‘하’ 등급은 재행정예고 기간이 끝나면 실증 없이 바로 시행된다는 틀은 변하지 않았기에 국내 클라우드 업계의 반발은 지속될 전망이다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
