클라우드 내 데이터의 민감도에 따라 보안 기준 ‘상·중·하’로…규제 완화로 중견 · 중소기업 사업 기회 확대
클라우드 보안 인증(CSAP) 등급제 도입에 속도가 붙고 있다. 정부가 이를 위한 고시 개정안을 공포할 예정인 가운데 업계에서도 기대가 커지고 있다. 토종 서비스형 소프트웨어(SaaS) 기업의 공공 분야 진출뿐만 아니라 글로벌 시장에서의 경쟁력 제고도 가능하기 때문이다. 글로벌 기업과의 경쟁에서 우위를 점하게 된다면 ‘K-클라우드’의 위상도 높아질 것으로 보인다. 현행 CSAP 제도, ‘디지털 정부’에 걸림돌CSAP는 공공 기관에 클라우드 서비스를 제공하기 위해 의무적으로 획득해야 하는 인증이다. 데이터가 저장되는 서버의 물리적 망 분리가 현 제도의 핵심이다. 공공 기관 전용 서버를 한국에 설치하고 공공용 서버와 민간용 서버를 물리적으로 구분할 뿐만 아니라 한국 기준 암호화 기술을 사용해야 하는 등 국제 표준과 다르다.
문제는 활용도다. CSAP 기준에 맞춰 만들어진 제품들은 설계 시스템이 글로벌 기준과 달라 글로벌 시장은 물론 CSAP의 요건을 적용받지 않는 한국의 민간업계에서도 통용되지 않는 부작용이 있다.
공공 부문의 클라우드 활용도도 낮다. 특히 지난해 출범한 새 행정부가 ‘디지털 정부’를 표방하면서 각 부처도 디지털 전환에 속도를 내고 있는데 현행 CSAP 제도가 걸림돌로 꼽힌다. 업계에서도 그 원인으로 CSAP 제도를 지목하고 있다.
행정안전부는 2025년까지 디지털 전환 로드맵을 발표하고 모든 공공 자원을 클라우드 환경으로 이관할 계획이다. 국방·외교·법무·복지·일반 행정 등 중앙 정부 기관의 중요 정보는 행안부가 구축하고 운영하는 국가 클라우드(G-클라우드)센터를 활용하는 것으로 알려져 있다.
국가 정보를 안전하게 저장하더라도 활용할 애플리케이션(앱)이 거의 없다. 한국 정부에서 사용할 수 있는 클라우드용 소프트웨어 SaaS 제품은 25종이 전부다. 그나마 e메일, 건물 출입 관리, 온라인 학습 등 기초 수준이다.
한국 소프트웨어 업체 역시 공공 시장에 도전하지 못하고 있다. 한국인터넷진흥원(KISA)의 1만3000여 개 회원사 가운데 물리적 망 분리 요건에 따라 CSAP 인증을 취득한 기업은 30곳이 전부다. 제품 기준으로도 50개에 그친다. 이 가운데 25개 정도가 디지털 서비스 계약에 따라 정부에 납품할 수 있다. CSAP 등급제 도입 초읽기…긍정적 변화 기대이에 정부는 CSAP에 대한 개편을 발표했다. 현재 단일 구조의 CSAP를 데이터 민감도에 따라 상·중·하(가칭) 세 단계로 나눠 보안 인증 기준을 차등화한다는 내용이다. 민간 클라우드 이용이 제한된 공공 영역을 개방해 클라우드 시장 전반을 활성화하고 공공 서비스를 혁신하기 위한 결정이다.
최근 과학기술정보통신부는 ‘인터넷 기반 클라우드 컴퓨팅 서비스 보안 인증에 관한 고시’ 개정안을 행정 예고했다. ‘하’ 등급 시스템에 대한 클라우드 보안 인증은 고시 공포 이후 시행하고 ‘상‧중’ 등급 시스템은 안전성·활용성 등을 고려해 디지털플랫폼정부위원회와 관계 부처 공동 실증‧검증을 통해 세부 평가 기준을 보완한 뒤 연내 시행한다.
‘하’ 등급은 개인 정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, ‘중’ 등급은 비공개 업무 자료를 포함하거나 운영하는 시스템, ‘상’ 등급은 민감 정보를 포함하거나 행정 내부 업무 운영 시스템으로 분류한다.
평가 기준은 등급별로 다르다. 상 등급은 기존보다 강화하고 중 등급은 현행 수준을 유지하지만 하 등급은 합리적으로 완화한다. 특히 하 등급 시스템에 대해서는 SaaS 사업자가 공공 시장에 신규 진입할 수 있도록 기존의 민간‧공공 영역 간 ‘물리적 분리’ 요건을 완화해 ‘논리적 분리’를 허용한다. 다만 클라우드 시스템과 데이터의 물리적 위치를 한국으로 한정하는 요건을 검증하기 위한 평가 항목을 추가한다.
제도가 개편된다면 현재 적용 중인 CSAP 평가 기준이 완화된다. 상대적으로 보안 위험이 낮은 공공 데이터를 다루는 클라우드에 한해서다. 높은 수준의 보안과 복원력을 유지하면서도 활용을 위한 접근성과 가용성이 확보되는 기술 측면에서 의미가 있다.
영국은 정부 전체 데이터의 7% 정도만 일급 기밀로 분류된다. 이는 데이터 개방의 중요성을 보여주는 사례다. 영국 내각 사무처는 공공 기관의 클라우드 도입을 지원하기 위해 기존 6단계의 분류 체계를 3단계로 간소화했다. 이후 공공 데이터의 대부분(93%)은 가장 낮은 수준인 오피셜(official) 등급으로 분류됐다.
현재 CSAP 제도는 미국의 페드램프(FedRAMP), 싱가포르의 MTCS 등과 비슷하게 다층 구조의 등급제로 바뀌게 된다. 중요한 기밀 정보는 별도로 관리되고 글로벌 클라우드 인프라가 제공하는 추가 보안 조치를 통해 보호받는다.
규제 완화에 따른 민간 시장의 긍정적 변화도 기대된다. 한국 SaaS 기업의 공공 분야 진출과 글로벌 시장 경쟁력 제고도 가능하다. 업계의 한 관계자는 “글로벌 시장에서 한국의 디지털 리더십을 제고할 수 있을 것”이라며 “첨단 소프트웨어 기술 활용 기업의 수혜도 예상된다. 글로벌 머신러닝 플랫폼 텐서플로우와 MX넷 등을 활용하는 개발자 90% 이상이 아마존웹서비스(AWS) 플랫폼을 이용한다. 한국 기업이 글로벌 시장에 진출하는 데 영향을 미칠 것”이라고 내다봤다.
또한 서비스형 인프라(IaaS)와의 협업을 통해 중소 SaaS 기업이 사업 기회를 확보할 것으로 예상된다. 중소 SaaS 업체는 제품을 만드는 데 laaS를 포함한 더 많은 선택지를 가질 수 있고 한국 공공 부문의 성공적인 클라우드 활용 사례를 통해 해외 시장에서 레퍼런스와 신뢰도를 쌓을 수 있다.
다만 일각에서는 여전히 우려하는 목소리가 나온다. CSAP 제도 개정에 대한 명확한 가이드라인이 필요하고 보안 우려를 해소하기 위해 하 등급에 대한 실증이 선행돼야 한다는 지적이다.
최수진 기자 jinny0618@hankyung.com