최근 국내 클라우드 보안인증제 (CSAP) 개편과 관련하여 다양한 의견들이 나오고 있고, CSAP는 새 정부의 규제혁신 로드맵과 맞물려 올해 안에 개편될 예정이다. 본 고에서는 CSAP 개편 방향성 관련 찬성과 반대 관점을 객관적 시각으로 정리하고, 향후 나아갈 방향에 대하여 간략히 논의하고자 한다.
CSAP란 2016년 7월부터 '클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률' 제23조 2항에 따라 국가가 지정한 인증기관(한국인터넷진흥원·KISA)이 이용자 정보보호 기준의 준수 여부를 평가·인증하는 제도이다. 클라우드 서비스 사업자가 정부·공기업·교육기관 등의 클라우드 서비스 시장에 진입하기 위해서는 반드시 CSAP 인증을 획득해야 한다.
2016년 제도 도입 이후 처음으로 CSAP 인증 평가 분야는 ▲서비스형 인프라(IaaS)를 비롯해 ▲서비스형 데스크톱(DaaS) ▲서비스형 소프트웨어(SaaS) 표준등급 ▲SaaS 간편 등급으로 나뉜다. SaaS의 경우 표준은 총 13개 분야‧78개 통제항목으로, 간편은 11개 분야‧30개 통제항목으로 구성됐다. 표준 등급의 인증 유효기간은 5년, 간편은 3년이다. IaaS와 DaaS 인증 유효기간은 각각 5년이다. KISA에 따르면 올해 10월까지 인증서 발급현황은 총 72건이며, 유지되고 있는 인증은 67건으로 SaaS 표준 22건, SaaS 간편 37건, IaaS 11건 등이다.
CSAP인증을 받기 위해서는 물리적 망분리, 물리적 위치(기관별 국내 저장소 분리 및 위치), 보안인증인 CC인증 등의 기준을 충족해야 한다. 각 요구 조건을 쉽게 이야기하면, 물리적 망분리란 민간 영역과 공공 영역을 외부 인터넷망과 업무망을 물리적으로 분리하는 것을 의미하며, 공공기관 사용자 책상에 인터넷망 PC와 내부망 PC가 나뉘어 있는 환경을 생각하면 될 것이다. 물론 논리적 망분리 기술도 있는데 이는 서버 기반 가상화 방식과 클라이언트 기반 방식의 가상화가 있다.
물리적 위치는 데이터의 저장된 데이터센터가 반드시 국내여야 된다는 것이며, 기관별로 스토리지에 저장되는 위치를 분리하여야 한다는 것이다. CC 인증은 공통평가기준(Common Criteria) 인증으로 국가정보원에서 주관하는 인증제도를 말한다. 현재 한시적으로 2024년 말까지 KISA의 CSAP 인증이 있으면 CC인증을 안 받아도 클라우드 서비스를 할 수 있도록 완화했다.
CSAP 인증제도는 그동안 일종의 국내 공공 클라우드의 진입장벽 역할을 해 왔다. 그 이유는 국내 클라우드 기업은 CSAP 인증의 핵심 요건인 물리적(하드웨어) 망분리를 수행함으로써 CSAP 인증을 받았던 데 비해 해외 클라우드 기업은 물리적 인프라 분리를 하지 않고 논리적(소프트웨어) 망분리만 함으로써 CSAP 인증을 받지 못했기 때문이다.
해외 클라우드 업체들은 CSAP가 보안 인증보다 해외 업체의 공공사업 참여를 막는 무역 장벽의 역할을 한다며 제도의 폐지 또는 수정을 요구해왔다. 미국 무역대표부(USTR)는 '2022년도 국별무역장벽보고서'를 통해 CSAP를 한국 무역 장벽의 대표적인 사례로 지목하기도 했을 정도로 CSAP와 공공 클라우드는 보이지 않는 무역 장벽으로 문제화되기도 했다.
CSAP 제도 개편 작업은 아직 그 내용이 확정된 것은 아니다. 그러나 CSAP 등급을 데이터 민감도에 따라 현행 인증 요건보다 보안 수준이 높은 등급(상), 현행 인증과 같은 등급(중), 현행 인증 요건보다 보안 수준이 낮은 등급(하) 등의 세 개로 나누고 사업자가 보유한 인증 등급에 따라 해당 클라우드 서비스를 쓸 수 있는 공공 정보시스템 범위나 유형을 차등화할 계획이라고 이야기되고 있다. CSAP 개편은 주무 기관인 과학기술정보통신부가 제도 개편 작업을 맡았다. 과기정통부의 목표는 국내 클라우드 산업 활성화와 규제 개선이라고 할 수 있는데 행정안전부와 국가정보원 등 유관부처 입장 조율도 남아있다.
2022년 10월 현재, 이러한 CSAP 개편을 둘러싼 다양한 의견을 찬성과 반대로 정리를 하고자 한다.
우선 CSAP 개편에 대한 찬성 관점은 다음과 같다. 첫 번째는 CSAP 제도가 글로벌 기준에 부합하지 않는다는 점이다. 한국규제학회도 CSAP를 대표적인 규제 사례로 인정하였으며 이는 한국 정부가 2021년 싱가포르와 맺은 디지털동반자협정(KSDPA)과도 충돌한다. KSDPA는 국경 간 데이터의 이동을 보장하고 컴퓨팅 설비의 현지화 요건 금지 조항을 수용하면서 데이터 현지화 원칙을 배제했기 때문이다.
CSAP는 또한 한국이 가입한 세계무역기구(WTO)의 정부조달협정(GPA)과 한미 자유무역협정(FTA)의 정부조달 조항 등의 '자유롭고 공정한 무역 원칙'과 맞지 않는 부분이 있다. 이는 '국가안보'나 '정당한 공공정책상의 목표(LPPO)'와 관련되면 예외를 인정 하나 국내 모든 공공기관에 CSAP로 인하여 예외 사항을 두는 것은 다른 FTA 체결 국가들과의 무역협정에 문제가 될 소지가 있는 점이다.
둘째는, 국내 SaaS 기업의 공공시장 레퍼런스를 통한 해외 진출 문제이다. 토종 SaaS(서비스형 소프트웨어) 기업들은 규제 개선으로 인해 글로벌 시장에 진출할 수 있는 사례(레퍼런스)를 쌓을 기회가 많아질 것으로 기대하고 있다. SaaS는 기본적으로 클라우드 환경에서 구동되는 소프트웨어로써 물리적 공간의 제약을 받지 않는다. 토종 SaaS 기업들도 기본적으로 글로벌 시장 진출을 염두에 두고 사업을 시작한다. 그 레퍼런스를 한국에서 먼저 쌓아야 하는데 CSAP가 문제가 되고 있고, 최근에는 물리적 망분리를 하지 않아도 보안을 강화할 수 있는 기술들이 시장에 많아, 완화해도 큰 문제가 되지 않는다는 의견이 많다.
셋째는 국내 토종 SaaS기업의 CSAP 기준 취득을 위한 비용 및 시간 관련 문제이다. 클라우드 기업들은 파일들을 이미 분산 저장하고 있지만 CSAP를 획득하려면 SaaS기업들은 이 파일들을 다시 고객사별로 따로 모아야 한다. 특히 중소 SaaS 기업들은 공공사업을 할 때 CSAP를 준비해야 하는데 여기에 많은 인력과 비용이 들어가고 있는 점도 개편에 찬성하는 이유 중 하나라고 할 수 있다.
다음은 CSAP에 반대하는 의견이다.
첫 번째로는 데이터 주권에 대한 이슈이다. 공공 클라우드 시장이 일부라도 외국 제품에 개방된다면 점진적으로 공공 시장도 외국에 잠식되고 장기적으로는 데이터 주권을 상실할 가능성이 크다고 전망하는 것이 CSAP 개편 반대의 가장 큰 이유라고 할 것이다.
실제로 클라우드 서비스의 후발 주자인 국내 정보통신기술(ICT) 대기업들은 글로벌 클라우드 기업과 경쟁을 벌이는 대신 공공을 비롯해 국내 산업별 맞춤 서비스를 제공하고 업종에 특화된 분야에서 성장하고 있어서 이러한 우려가 나오는 것은 당연하다고 할 수 있다. 그동안 CSAP를 충족시키지 못했던 대형 글로벌 클라우드 사업자들이 개편된 CSAP 등급제로 국내 공공 클라우드 시장에 진출할 수 있는 여지가 있어서 국내 공공 클라우드 사업자들의 매출에 영향이 생길 수 있기 때문이다.
둘째로, 공공 데이터의 클라우드 환경 정보보안에 대한 문제이다. 데이터 주권에 대한 이슈와 연관된 부분이기도 하다. 분산된 공공 데이터에 대한 정보보호에 대한 문제는 개인정보 유출 및 국가 자산 침해 위험 등 CSAP 개편에 따른 물리적 망분리 및 스토리지 규정 완화에 맞물려 더욱 위험도가 높아질 것이라는 의견이다.
이러한 찬성과 반대가 각각의 논리성을 가지고 충돌이 될 때 가장 중요한 것은 원칙에 근거해 생각해보는 것이라고 할 수 있다.
첫 번째, 데이터 주권은 반드시 확보되어야 한다. 다만 최근 서버 가상화 등 논리적 망분리가 적은 비용과 안정된 서비스 제공으로 대세가 되고 있으며, 물리적 망분리가 환영받지 못하고 있어 물리적 망분리 완화는 반드시 검토해보아야 할 사안이라고 생각한다. 글로벌 업체에 시장을 점진적으로 열어주면서 데이터 주권을 요구하고, 문제 발생 때 징벌적 손해배상제로 강력히 책임을 지게 하는 것을 이번 제도 개편 때 검토할 수 있을 것이다.
두 번째, 국내 SaaS 산업 생태계 강화 및 다양한 클라우드 플랫폼에서 제공될 수 있는 SaaS 사업자를 육성하는 데 보다 큰 관심을 가져야 할 것으로 생각된다. 특히 과거 한국 전자정부의 전 세계 확산은 한국에서 경험과 실적이 있었기에 가능했던 것처럼, 클라우드 서비스도 어떠한 플랫폼에서도 공공 서비스가 제공될 수 있는 국내 SaaS 사업자들을 육성하는 것이 필요하다고 생각된다.
세 번째, 정부가 전부 투자하고 운영하는 공공 클라우드가 아닌 민간을 활용하여 클라우드를 확산 할 수 있는 방향이 현 정부의 철학 및 지속가능성을 위해서도 올바른 시도라고 생각된다. 한국이 민간과 함께 추진하는 ‘국가정보통신서비스’의 사례도 민간 통신 인프라 업체를 활용하는 좋은 시도였다. 현재 기본회선, 백본, 인터넷, 인터넷전화, 모바일 인터넷전화, 무선데이터, 사물인터넷(IoT) 서비스, CCTV 전송 서비스 등등에 활용되고 있는 것처럼, 민간 클라우드가 공공에서 활성화될 수 있도록 제도가 추진돼야 할 것이다.
최근 클라우드 산업은 SaaS 중심으로 변화하고 있으며 데이터는 종국적으로 SaaS 업체에 축적이 되어 가공되고 가치를 창출하는 데이터 중심의 현상이 발생하고 있다. 현 정부는 핵심 국정과제인 모든 데이터가 연결되는 디지털플랫폼 정부를 구현하고자 민간 클라우드서 제공하는 SaaS를 적극적으로 활용해 정부의 디지털 혁신과 동시에 SaaS 생태계 발전을 고려하고 있다. 이는 매우 적정한 방향으로 판단된다.
한국의 공공 클라우드가 인큐베이션 플랫폼이 되어 다양한 강소 SaaS 업체가 나와서 공공 클라우드 서비스 생태계가 활성화되기를 희망한다.
 |
● 손연기 강릉영동대학교 부총장 / 한국정보통신보안윤리학회장
1958년 강원도 강릉 출신으로, 고려대학교 심리학과를 졸업했다. 그후 미국 유타주립대에서 사회학과 학사를 거쳐 텍사스 A&M 대학교에서 석·박사 학위를 취득했다. 숭실대 정보사회학과 학과장을 거쳐 한국정보문화센터에서 소장으로 근무했다. 특히 한국정보문화진흥원(현 한국지능정보사회진흥원) 원장을 연임한데 이어 ICT 폴리텍대학 학장 과 행안부 산하 한국지역정보개발원 원장도 역임했다. 청소년보호위원회 위원장, 서울대 행정대학원 객원교수와 우송대학교 IT융합부 교수를 거쳐 현재는 강릉영동대학교 부총장 및 한국정보통신보안윤리학회장으로 활동중이다. |