보안 중요도 따라 등급제 시행, 논리적 망분리 허용

<픽사베이>
<픽사베이>

[현대경제신문 하지현 기자] 클라우드 보안인증(CSAP)이 등급제로 개편되며, 해외 CSP(클라우드 서비스 업체)들의  국내 공공 시장 진출 가능성이 높아질 전망이다. 그간 공공 클라우드 시장을 주도해온 KT클라우드, 네이버클라우드, NHN클라우드 등 국내 기업들이 아마존, MS 등 글로벌 업체들과 점유율 경쟁에서 밀릴 수 있다는 우려도 나온다.

30일 업계에 따르면 정부는 클라우드 보안인증(CSAP)의 등급제 개편을 확정했다. 데이터 민감도가 떨어지는 공공시스템을 중심으로 물리적 망분리 규제를 풀어 민간 클라우드 도입을 가속화한다는 취지다. CSAP란 국내 공공기관에게 클라우드 업무 환경을 제공하려는 기업이 의무적으로 획득해야 하는 인증이다.

개편을 통해 보안인증 체계는 국가, 공공기관 IT 시스템의 중요도 기준으로 상, 중, 하 등급제가 적용된다. 상대적으로 낮은 중요도의 데이터를 다루는 클라우드 서비스에는 인증 부담을 완화하는 것이 개편안의 골자로, 가장 낮은 등급인 ‘하’ 등급은 논리적 망분리만 해도 취득이 가능하다.

그간 CSAP는 물리적 망분리만 허용해왔다. 물리적 망분리는 공공용과 민간용 클라우드 서버를 물리적으로 각각 따로 두는 것이다. 논리적 망분리는 하나의 서버에 공공용과 민간용 클라우드를 가상으로 나눠도 되는 방식이다.

특히 현행 CSAP는 클라우드 시스템 위치를 국내로 한정하는 물리적 망 분리 원칙이었기 때문에 아마존웹서비스(AWS), 마이크로소프트(MS) 애저 등 글로벌 사업자들은 사실상 획득이 불가능했다. 클라우드를 도입하는 시스템에 상관없이 높은 수준의 보안 체계를 요구해 외국계 클라우드 기업에 진입 장벽으로 작용한 것이다.

실제 AWS, MS, 구글 등 글로벌 서비스들이 국내 민간 클라우드 시장의 90% 이상을 차지하고 있는 것과 달리 정부 공공클라우드 사업은 CSAP를 획득한 KT클라우드, 네이버클라우드, NHN클라우드 등 국내 업체가 독점해 왔다. 

업계에선 CSAP 개편에 따라 구글, MS, 아마존 등 해외 사업자가 공공 클라우드 시장에 진출할 경우 국내 업체들의 입지가 크게 좁아질 것으로 보고 있다. 상대적으로 투자 여력이 우수한 글로벌 사업자들의 경우 국내 사업자에 비해 운영 여건이 우수하기 때문이다.

다만, 정부는 클라우드 시스템 및 데이터의 물리적 위치를 국내로 한정하는 요건을 검증하기 위한 평가항목을 추가하도록 했다. 외산 클라우드 기업에 의한 데이터 주권 훼손 문제를 방지하기 위해서다.

과기정통부는 행정예고 기간 동안 업계 및 관계기관 등이 참여하는 간담회 등 개최를 통해 각계 의견을 수렴하고, 결과를 최종 고시 개정안에 반영해 내년 1월 중 공포할 예정이다.

업계 관계자는 “물리적 망 분리 요건은 공공기관 전용 서버를 국내에 설치를 해야해서 이는 글로벌 사업자의 국내 시장 진출에 대한 장벽 역할을 해왔다”며 “이미 민간 시장을 장악하고 있는 외국계 클라우드 기업이 공공 시장까지 들어오게 되면 국내 기업들의 경쟁력 확보가 어려워질 수 있다”고 전했다.

저작권자 © 현대경제신문 무단전재 및 재배포 금지