과학기술정보통신부가 클라우드보안인증(CSAP) 등급제 개편을 고심하고 있다. 당초 지난 9월 말까지 CSAP 등급제 시행을 위한 세부 기준과 방안을 마련하고 고시 개정방안을 추진할 예정이었으나, 국내 사업자들과 국회의 거센 반발에 부딪히면서 기한을 연장했다. 국내 업계와 정치권은 정부가 CSAP를 등급제로 전환하면 외국 기업의 공공 클라우드 시장 잠식은 시간 문제라는 입장이다.
CSAP는 공공기관에 제공되는 민간 클라우드 서비스의 안전성과 신뢰성을 검증하는 제도다. 과기정통부는 현재 단일 인증 체계인 CSAP를 데이터 민감도에 따라 3단계로 구분, 하위 등급에 대해선 규제를 완화해주는 방안을 검토 중이다. 기상청 데이터처럼 민감도가 낮은 대민 서비스 영역은 최하위 등급으로 분류해 물리적 망 분리 조건을 면제해주겠다는 것이다. 물리적 망 분리는 민간 기업용 클라우드 서버와 공공기관용 클라우드 서버를 각기 다른 공간에 조성하고 관리 인력 또한 별도로 둬야 한다는 조건이다. 외국 클라우드 기업의 공공 시장 진입을 막는 방파제 역할을 해왔다.
과기정통부와 한국인터넷진흥원(KSIA)은 지난 14일 서울 중구 공간모아 대회의실에서 ‘클라우드컴퓨팅서비스 정보보호에 관한 기준 개정안 설명회’를 열고 내년 클라우드컴퓨팅법 개정안 시행에 따라 CSAP 제도에 생기는 변화를 발표했다. 주요 변경사항은 인증기관 확대, 수수료 유료화, 평가절차 간소화 등이다. 그간 고시에 근거해왔던 보안인증 사항을 법률로 규정해 이용 활성화 및 정보보안을 강화하려는 취지라고 과기정통부는 설명했다.
다만 과기정통부가 이날 CSAP 등급제와 관련한 청사진을 발표할 것이란 업계의 예상은 비켜갔다. 내년 초 국무회의에서 클라우드컴퓨팅법 시행령 개정을 안건으로 처리할 때 CSAP 개편 방안을 넣으려면 정부가 늦어도 이달 말까지는 세부안을 만들어 업계 의견을 들어야 하기 때문에 사업자들은 이번 설명회에 해당 내용이 포함될 것으로 추측해왔다. 더욱이 과기정통부는 앞서 9월 말까지 세부안을 발표하겠다고 밝혔다가 10월 말로 한 차례 미룬 바 있다.
설재진 과기정통부 사이버침해대응과 과장은 이에 대해 “디지털플랫폼정부위원회 중심으로 여러 부처와 이해관계자가 지속적으로 논의하고 있다”며 “등급 기준 분류 등 전체적인 틀을 모두 논의해야 하는 상황으로 현 시점에서 확정안을 발표하기는 어렵다”고 설명했다. 그러면서 그는 “CSAP 등급제 개편이 무산된 건 아니다”라고 강조했다.
업계는 과기정통부의 태도가 지난달 국정감사 이후 미묘하게 바뀌었다고 분석했다. 국감 당시 의원들은 이종호 과기정통부 장관에게 “국무총리 지시여도 부당하면 노(NO)라고 말해야 한다. 나중에 문제되면 책임져야 한다는 걸 꼭 유념해 달라”고 당부했다. 과기정통부는 이후 의원실들을 돌면서 의견을 더 들은 것으로 알려졌다. 한 국내 업계 관계자는 “정부는 그간 짧은 일정으로 무리하게 CSAP 개편을 진행해왔다”며 “국감에서 주요 의제로 거론된 만큼 속도 조절에 나선 것으로 보인다”고 했다.
한덕수 총리는 CSAP 등급제 개편을 밀어붙이는 주체로 지목 받고 있다. 과기정통부 이 장관은 지난 국감에서 CSAP 등급제 개편 배경과 관련한 질의에 “총리실과 주로 얘기가 있었다”고 답했다. 김정삼 과기정통부 정보보호네트워크정책관은 국가정보원, 행정안전부와의 논의 과정에 대해 “(타 부처와) 일부 합의가 안 된 부분이 있다”고 했다.
한 총리는 지난 7월 주한미국상공회의소(암참) 주최 미국 기업 간담회에서 새 정부의 규제 완화 정책을 공유하며 “지난 3~5년간 암참 회원사들이 끊임없이 ‘한국의 정책 및 법규가 국제적 기준에 들어맞지 않는다’고 말해왔지만, 소통이 되지 않았다는 점이 마음에 들지 않았다”고 말하기도 했다. 아마존웹서비스(AWS), 마이크로소프트(MS) 애저 등 미국 클라우드 기업들은 암참을 통해 정부에 CSAP 개편을 요청해온 것으로 알려졌다.
일각에선 과기정통부가 시간을 끌고 있는 것에 불과할 수 있다는 지적도 나온다. 총리의 지시에 따라 기존 국정원, 행안부 뿐만 아니라 과기정통부와 디지털플랫폼정부위원회까지 CSAP 개편에 관여하게 됐는데 입장을 뒤집진 않을 것이란 설명이다. 다른 국내 업계 관계자는 “업계가 지속적으로 우려 사항을 전달했는데도 정부는 그에 대한 명확한 답변을 하지 않아왔다”며 “사업자들의 의견을 공개적으로 나눌 수 있는 공청회 개최 소식도 아직까지 없다”고 했다.
국내 업계는 CSAP 등급제 개편으로 외국 기업이 민간 시장에 이어 공공 시장까지 장악하게 될 것을 우려하고 있다. 현재 국내 민간 클라우드 시장은 AWS, MS 애저 등의 점유율이 80%를 넘어서는 등 사실상 외국 기업이 독점하는 구조다. 한번 계약하면 호환성 등을 이유로 쉽게 바꿀 수 없는 클라우드 특성상 국내 기업들은 공공 시장에서의 점유율 확대를 기대해왔다. 한국지능정보사회진흥원(NIA)에 따르면 올해 정부·공공기관의 전체 클라우드 사업 규모는 1조2320억원으로 역대 최대다.
정치권은 공공 클라우드 시장 개방이 국가 데이터 주권 문제와 직결된다고 강조한다. 정부시스템에는 국민의 개인정보를 비롯한 정부의 각종 중요데이터가 들어 있기 때문이다. 박찬대 더불어민주당 의원은 국감에서 “국내에 서버를 두고 물리적 망 분리를 하지 않은 상태에서 논리적 망 분리만을 했을 때 국내의 민감한 정보가 해외에 유출될 가능성이 있다고 본다”고 말했다. 같은 당 윤영찬 의원은 “글로벌 기업의 경우 우리 정부의 행정력이 미치지 못하는 영역이 존재할 수 밖에 없어 데이터 주권을 확실하게 지킬 수 있는 제도적 보완이 필요하다”고 했다.