정부가 클라우드 보안인증 상·중등급 기준을 확정하며 본격적인 제도 시행에 들어가면서 공공부문 클라우드 전환에 속도가 붙을 전망이다. 아마존웹서비스(AWS)·마이크로소프트·구글클라우드 등 외국계 클라우드 서비스 제공 사업자(CSP) 입장에선 상·중등급 장벽이 확고히 세워졌다.
과학기술정보통신부는 클라우드 보안인증 등급제의 상·중 등급 평가 기준이 반영된 클라우드컴퓨팅서비스 보안인증에 관한 고시 일부 개정안을 발표했다. 지난해 1월 클라우드 보안인증 등급제를 도입하면서 평가기준을 마련한 하등급은 바로 시행했으나, 상·중등급은 실·검증을 거치기로 했다.
과기정통부는 행정내부시스템을 민간 클라우드로 전환한 실증환경을 구축하고 국정원 보안진단을 반영해 상·중등급 평가기준을 마련했다. 또 고시 개정 연구반을 꾸려 국제표준 인증과 미국 연방정부 클라우드 보안인증(FedRAMP) 등 평가항목을 분석하고 추가 보완이 필요한 평가기준을 도출했다.
상등급엔 기존 평가기준에 △외부 네트워크 차단(프라이빗 클라우드) △보안감사 로그 통합관리 △계정 및 접근권한 자동화 △보안패치 자동화 항목을 추가했다. 중등급은 추가항목은 없지만 일부 항목을 수정해 점검 내용을 명확히했다.
업계에선 이번에 클라우드 보안인증 등급제가 본격적으로 운영됨에 따라 공공 부문의 클라우드 전환에 탄력이 붙을 것으로 기대하고 있다. 보안인증 클라우드 서비스 잠재 이용기관은 행정안전부·교육부 등 19개 중앙행정 부처와 221개 소속기관을 비롯해 17개 지방자치단체, 228개 기초 시·군·구, 전자정부법에 따른 347개 공공기관까지 총 832곳에 달한다.
A CSP 관계자는 “클라우드 보안인증 등급제 시행은 공공시장 개방을 의미한다”면서 “그동안 하등급만 시행해 업계 불만이 있었는데, 이번에 상·중등급 기준이 마련되면서 국내 업계엔 기회로 작용할 것”이라고 말했다.
향후 구체적인 사업 내용을 지켜보자는 관망세도 엿보인다.
B CSP 관계자는 “등급제 본격 시행으로 사업 전략이나 계획이 당장 바뀌지는 않는다”면서“과기통정부, 국가정보원, 행안부 등 정부 보완 지침 시행 기조를 보면서 유연하게 대비하고, 기회를 포착하면 이에 맞게 사업을 바꿔나갈 것”이라고 말했다.
공공시장 문을 두드리고 있는 외국계 CSP 사업자에 걸린 빗장엔 대못이 박혔다. 외국계 사업자는 하등급뿐만 아니라 상·중등급에도 논리적 망분리를 허용해달라고 요구했으나, 이번 고시에 반영되지 않았다. 더욱이 상등급은 프라이빗 클라우드 도입을 강제하고 있어 문턱이 더 높아졌다. 외국계 사업자는 국정원 보안인증 요구 등에 걸려 하등급 인증도 지지부진한 상황이다.
외국계 CSP 관계자는 “물리적 망분리 요건이 강화되면 디지털 혁신이 어렵고, 특히 서비스형 소프트웨어(SaaS) 활용에 제한적”이라며 “보안인증 등급제는 클라우드를 활용한 정부 혁신에 필요한 소프트웨어 사용을 막는다”고 꼬집었다.
그러면서 그는 “정보보안만 강조하는 건 시대적 흐름에 맞지 않으며, 글로벌 경쟁에서도 뒤처지게 된다”면서 “국가 보안이나 치안과 같은 민감 정보는 보호해야 하지만 이를 제외한 것까지 등급제에 가둬두면, 클라우드로 전환해도 디지털 혁신 효과를 보기 어렵다”고 덧붙였다.
조재학 기자 2jh@etnews.com, 박두호 기자 walnut_park@etnews.com
