현재 정부가 추진하고있는 CSAP 인증제도 개선에 대해 국내 클라우드 생태계가 무너질 수 있다는 우려가 제기됐다.

윤영찬 국회의원은 11일 국회 과학기술정보방송통신위원회 ICT 진흥원 국정감사에서 CSAP 제도 개선이 산업계의 의견을 제대로 수렴하지 않은 채 급하게 진행되고 있는 문제점을 지적하고, 국내 클라우드 산업 생태계를 발전시키는 방향으로 나아가야 한다고 강조했다.

정부가 추진하고 있는 공공 클라우드 전환 사업은 공공 데이터를 이용해 클라우드를 통한 다양한 혁신 서비스를 국민에 제공하겠다는 목표를 세우고 있다. 또한 국내 클라우드 기업들이 다양한 혁신을 시도할 수 있게 공공부문에 시장을 열어줌으로써 클라우드 생태계를 활성화시키겠다는 계획을 세운 바 있다.

하지만 행안부가 추진하는 공공 클라우드 전환사업은 Lift&Shift 방식으로 각 부처의 전산실을 모아 통합전산실을 만들겠다는 방향으로 가고 있고, 그나마 방향성은 기대할 만했던 과기부는 총리의 top down 지시로 글로벌 사업자에게 시장을 넘겨주는 데 앞장서고 있다는 지적이다.

CSAP 3등급 분류 시 하등급에 대해 물리적 망분리 조건을 완화할 경우, 해외 사업자들의 공공 시장 진입이 쉬워질 것으로 예상된다. 문제는 국내법에 따라 CSAP 인증을 받기 위해 비용을 투입하고 공공존에 물리적 망분리를 완료한 국내 기업들이 오히려 역차별을 받게 된 것이다.

윤영찬 의원은 “현재 논의 중인 CSAP 인증제도 등급화가 환영받지 못하는 가장 큰 이유는 그동안 공공에 시장 창출을 하지 못한 탓”이라며, “상, 중 등급에 새로운 수요없이 글로벌 사업자에게 시장을 열어주기만 한다면, 공공 시장 역시 민간시장처럼 해외 사업자에 시장을 잠식당하는 결과를 낳을 것”이라고 지적했다.

이어 윤영찬 의원은 “물리적 망분리 조건을 완화하게 되면 국내 데이터 주권을 잃을 수 있다는 우려도 있다”며 “글로벌 기업의 경우 우리 정부의 행정력이 미치지 못하는 영역이 존재할 수 밖에 없어 데이터 주권을 확실하게 지킬 수 있는 제도적 보완이 필요하다”고 말했다.

한편 정부는 미국의 FedRAMP를 참고해 현재 단일 체계로 운용중인 CSAP 인증제도를 3등급으로 나누겠다는 계획이다.

FedRAMP는 클라우드에 이용되는 데이터의 중요도에 따라 High, Moderate, Low로 분류하고 있으며, 기준 제시를 위해 가이드를 제공하고 있다. 이를 통해 미국 클라우드 기업들은 예측이 가능한 제도의 혜택을 보고 있다.

하지만, 현재 정부가 논의중인 CSAP 인증제도 3등급 구분은 데이터가 아닌 시스템을 기준으로 하고 있어 전문가들 사이에서 방향 전환이 시급하다는 의견이 나오고 있다.

이에 윤영찬 의원은 “시스템은 다양한 데이터를 기반으로한 여러 가지 서비스가 연계되어있어 시스템을 기준으로 중요도를 구분한다면 민감 데이터가 하나라도 포함될 경우 나머지 모두가 상등급으로 묶이는 결과를 초래할 것”이라며 “시스템 안에 데이터가 어떻게 연결되어 있는지를 읽어내고 그 데이터를 기준으로 중요도를 나누는 것이 클라우드의 특성을 제대로 반영한 것”이라고 말했다.

★정보보안 대표 미디어 데일리시큐!★