클라우드 보안인증제도(CSAP) 완화를 놓고 정부와 기업 간 갈등의 골이 깊어지고 있다. 정부는 규제 개선 차원에서 오는 9월까지 CSAP를 완화한다는 방침이고 국내 클라우드 업계는 규제 완화의 역기능이 더 크다고 우려하고 있다.
CSAP는 클라우드시스템과 관련한 정보보호 정책 및 조직, 인적보안, 자산관리, 침해사고관리, 물리적 보안, 가상화 보안, 접근통제, 데이터 보호 및 암호화, 공공부문 추가 보안요구 사항 등을 아우른 인증제도다. 평가와 인증기관으로는 한국인터넷진흥원(KISA)이 평가인증 업무를 수행한다. 절차는 신청부터 인증서 발급까지 2~5개월이 소요된다.
과기정통부는 클라우드 기업과 간담회에서 단일 인증인 현 CSAP를 미국 클라우드 서비스 보안인증 제도인 '페드램프'(FedRAMP)처럼 3단계로 나누는 방안을 검토하고 있다. 데이터 중요도와 데이터 손실 시 미칠 영향 수준에 따라 3단계로 구분된다.
정부는 CSAP 인증 기준이 엄격하고 기간이 오래 걸려서 공공 클라우드 시장 진입에 걸림돌이 된다는 게 표면적인 이유다. 하지만 업계에선 이를 미국과의 통상 이슈가 내포된 것으로 보고 있다. 그동안 주한미국상공회의소(AMCHAM)와 보고서 등을 통해 미국 기업 차원에서 반복 제기된 이슈인 데다 조 바이든 미국 대통령의 방한 이후 미국과의 통상 이슈로 급물살을 탔다는 것이 업계의 관점이다.
기업들은 CSAP 규제 완화로 미국은 물론 중국 클라우드 기업까지 공공시장에 진출할 수 있다고 우려하는 한편 이로 말미암아 국내 기업의 어려움이 가중될 것으로 보고 있다.
세계적으로 클라우드 서비스를 자체 공급하는 국가는 미국, 중국, 한국 등 3개국뿐이다. 우리나라가 이처럼 클라우드 서비스를 국산화할 수 있기까지에는 CSAP 규정 등이 한몫했다. 정부는 CSAP 규정을 서둘러 완화하기보다 국내 산업의 피해를 최소화할 수 있도록 중장기적으로 논의해야 한다. 그래야 업계가 규제 완화를 진심으로 수용할 수 있다.
